我是一家小镇公共图书馆的技术助理,我们在那里运营自己的电子邮件。如果重要的话,它是 Ubuntu 18.04 机器上的 Postfix。网关/防火墙是一个 16.04 机器,通过启动时运行的脚本设置端口转发,发出一长串 iptables 命令。
今天我们的 IP 地址被列入了两个 Spamhaus 阻止列表,首先是 SBL,然后是 XBL。上周,在我们收到一封外发邮件后,我发现我们被列入了 SBL 列表。我执行了删除流程,它被删除了。但今天下午问题又出现了,Spamhaus 的网络服务器假装接受了我删除 IP 的请求,但它仍然在列表中,经过几次运行后,它也出现在了 XBL 上。
我打电话给我们的互联网提供商,他们的网络工程师按照删除步骤确实删除了它。(或者也许我的第一个请求花了这么长时间才处理。)
我该怎么做?我只是一个新手系统管理员,我不知道的东西可能会填满一个……图书馆。为了防止这种情况再次发生,我需要找出是什么在发送垃圾邮件。我尝试在网关的外部 NIC 上对端口 25 进行 tcpdump,但在我查看期间(事后,我承认不久之后就转向了其他事情),我没有看到任何可疑的东西(对我来说)。但我甚至不知道什么是进入的,什么是出去的,我完全不知所措。我在网关上安装了 Wireshark,但很快就删除了它,因为它似乎需要图形桌面才能使用。我查看了 /var/log/mail.log,但我没有看到任何看起来像批量邮件发出的东西(但那会是什么样子?)。
我sudo tcpdump -i enp3s0 port 25 | tee feb26-27-overnight.log整夜都在运行(在网关上,监控面向外部的 NIC),希望找到一些可以追踪的东西。但如果有一种简单的方法可以找出发生了什么,而不需要进行网络取证调查,只需发送电子邮件给人们,那就太好了。
答案1
Where should I go from here?
我并不是想油嘴滑舌或不屑一顾,但你应该将电子邮件转移到专业托管服务。Office 365。GSuite。随便什么。2020 年,你的组织没有理由在内部托管你的电子邮件。你无法提供这些服务所能提供的可用性、可扩展性和可靠性水平……更不用说你当前的电子邮件信誉问题,而这些服务不会给你带来这些问题。
我能想到的让您继续自己这样做的唯一正当理由是预算问题或法律问题,这些问题会阻止您将电子邮件“移出公司”。
答案2
到目前为止,我所做的就是为 SPF、DKIM 以及最终的 DMARC 做好一切准备。实施细节将因网络和平台而异,因此我不会详细介绍我所做的一切。但完成这一切似乎大大提高了我的邮件接受度。
SPF:相当容易实现。您所要做的就是设置一个 DNS 记录,说明谁有权为您发送邮件,并且有很多资源可以帮助您编写它,例如SPF 向导。
DKIM:相对复杂。您必须处理密钥和一堆其他服务器端内容,然后设置相应的 DNS 记录。我遵循LinuxBabe 上针对 Ubuntu(使用 Postfix 和 Dovecot)的说明。这样可以检查电子邮件的真实性,确保发件人不是伪造来源假装是您发来的。
DMARC:简单,但您需要先设置 SPF 和 DKIM 中的至少一个。与 SPF 类似,您只是在创建一个 DNS 记录,告诉第三方如果您的邮件未通过 SPF 和/或 DKIM,该如何处理您的邮件。一般明智的做法是从“p:none”开始,阅读一段时间的报告,直到您满意所有外发邮件(可能来自多个来源 - 例如,我们还使用 Sendgrid),即通过。(例如,您可以从 Gmail 获取每日摘要。)然后您可以将建议提升为“p:quarantine”或“p:reject”。一些基本信息这里。
哦,还有一条注意事项:不要使用虚拟域别名或任何用于转发目的的名称。它们不仅使用起来很别扭(我不得不为用户可能拥有的每个别名拼写它们,尽管可能有其他方法),而且我认为它们在邮件通过您自己的任何垃圾邮件过滤规则之前就转发了邮件。在将我们一名员工的电子邮件转发到他们的 Hotmail 帐户后,我们几乎立即被 Outlook 阻止。相反,由于在我们的设置服务器用户 = 邮件用户,我们可以在用户的主目录中设置一个 .forward 文件,内容如下:[email protected], \localusername。这要优雅得多,并且只有在邮件实际到达邮箱后才会启动。