简单介绍一下背景情况,我们发现有人使用我们的域名发送垃圾邮件。因此,我们在域名 DNS 中添加了 SPF 记录,这显然有助于确保不会发送此类垃圾邮件,但问题是此类垃圾邮件是否真的来自我们的服务器。我们从主机提供商处收到了一份滥用报告,其中包含以下标头
Received: from mx.poczta.onet.pl (unresolved [10.174.34.83]:53105)
by ps15.m5r2.onet (Ota) with LMTP id 6B66CFF656749
for <x>; Fri, 10 Mar 2017 23:36:17 +0100 (CET)
Received: from www.mydomain.com (unknown [xxx.xxx.xxx.xxx])
by mx.poczta.onet.pl (Onet) with ESMTP id 3vg2DJ4tX1z92
for <x>; Fri, 10 Mar 2017 23:36:16 +0100 (CET)
Date: Fri, 10 Mar 2017 17:36:15 -0500
To: x
From: Bethany <[email protected]>
Subject: [SPAM] Do you want to give your man a strong...?
Message-ID: <[email protected]>
X-Priority: 3
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="b1_8399a58bdbb7157cb3aeb3dc3e3f58f3"
Content-Transfer-Encoding: 8bit
X-ONET_PL-MDA-SEGREGATION: 0
X-ONET_PL-MDA-Version: 1.0.25
X-ONET_PL-MDA-Info: 015 35161 6B66CFF656749 1.000000
X-ONET_PL-MDA-From: [email protected]
X-ONET_PL-MDA-Spam: YES
注意:我已将包含我的域名的所有位置标记为“mydomain.com”,并将我的服务器实际 IP 标记为 xxx.xxx.xxx.xxx。据我所知,所有其他未经审查的信息与我无关。
我对 SMTP 标头的理解是,只有最上面的“已收到”是真实的,其下方的任何“已收到”都是伪造的。如果是这样,那是否意味着垃圾邮件实际上来自垃圾邮件发送者 @“10.174.34.83”,而不是我自己的 IP xxx.xxx.xxx.xxx?
也许还值得注意的是[电子邮件保护]也不是有效的电子邮件,并且不存在。我们使用 GSuite 来处理电子邮件。
答案1
请不要混淆您的服务器身份。这将导致无法检查 DNS 配置来为您提供帮助。
您认为所有收到的邮件都是伪造的,这种想法是错误的。但是,它们可能是伪造的。根据您提供的标头,如果第二个标头上的 IP 正确且该 IP 没有通过 rDNS 验证,则它很可能来自您的网络。我假设该 IP 不是来自您的邮件服务器,因为它的 IP 地址应该已经通过了 rDNS 验证。
您可以做以下几件事:
- 查找在第二个标头中 IP 地址的服务器上运行的意外软件。
- 阻止除您的邮件服务器之外的所有服务器的端口 25 上的所有互联网流量。
- 调查
DMARC您的域名的实施情况。这应该可以快速提示您是否确实在发送垃圾邮件以及垃圾邮件的来源 IP 地址。 - 在您的邮件服务器上,阻止来自端口 25 上除您的邮件服务器运行的用户 ID 之外的所有传出流量。
- 确保您的 SPF 策略结束
-all,并且仅列出您的外发邮件服务器。 - 向所有非邮件来源域(例如 www)添加 SPF 记录,并指定策略
-all。 - 向您的邮件服务器域添加 SPF 记录,指定以下策略
A -all - 确保邮件服务器不会转发来自互联网的邮件,除非用户已通过身份验证。这只应在提交端口 (587) 上允许。对于给定的标头,除非您在发送邮件时删除收到的标头,否则不应出现这种情况。
- 制定并实施电子邮件政策,例如矿。