我最近收到我的一台服务器提供商发出的有关发送垃圾邮件的警告。
由于我不使用服务器发送电子邮件,我删除了 postfix/sendmail,从我的域中删除了 MX 记录,限制了 SPF 记录,阻止了端口 25 和 567 上的传出流量,并从我的服务器上删除了所有不必要的软件。但问题仍然存在,我仍然收到 spamhaus 和 abuseat 的警告,报告称过去 24 小时内有超过 10 封垃圾邮件。
我还检查了电子邮件日志,但没有任何发出的电子邮件日志,所以我认为问题不在于 postfix/sendmail。
问题是,是否有其他方法可以在不使用 SMTP 中继且防火墙端口被阻止的情况下发送电子邮件,我下一步应该在哪里查找?
服务器上运行的第三方软件:Nginx(用于重定向或代理)、Ocserv、Gitea、Taiga、Teamspeak
答案1
首先,SMTP 通常在端口 25(您已阻止)上,而 SMTP 提交则在端口 587 上(您的问题提到端口567这没什么用),也可能是端口 465(SMTPS),所以这些是需要阻止的端口,尽管 465、587 通常需要身份验证,因此它们是发送垃圾邮件的不寻常路线。
请检查电子邮件是否确实是从您正在调查的服务器/ IP 地址发送的,并检查您是否确实阻止了这些端口(尤其是 25) - 尝试从服务器 telnet 到已知远程邮件服务器上的端口 25 - 如果端口仍然打开,您应该会收到提示,在这种情况下端口没有被阻止(例如到 gmail 服务器),
$ telnet alt1.gmail-smtp-in.l.google.com 25
Trying 2a00:1450:4010:c03::1b...
Connected to alt1.gmail-smtp-in.l.google.com.
Escape character is '^]'.
220 mx.google.com ESMTP c14si24561520lji.153 - gsmtp
quit
221 2.0.0 closing connection c14si24561520lji.153 - gsmtp
Connection closed by foreign host.
$
也许你会(不幸)地遇到这种情况。如果以上内容不能解释发生了什么,这里还有一些想法,
是否有人在冒充您的域名(从他们控制的其他服务器)?
您的服务器能否通过您所在组织内的另一台机器进行中继(通过端口 25、465 或 587)?那么,即使电子邮件从您的组织中的另一台机器发出,初始 IP 也将成为有问题的机器。
请注意,机器不需要安装邮件服务器即可发送电子邮件:它可以通过相当于远程系统上 25 端口的 telnet 会话来完成所有操作 - 因此邮件服务器日志通常不会显示滥用情况,例如可能已添加或破坏服务器端脚本的 Web 服务器。
您提到您已经添加了 SPF 记录,指定哪些机器有望为您的域发送电子邮件是一个好主意;您可能还想考虑添加 DKIM 和 DMARC 来增加该措施,尽管它们的设置比 SPF 更复杂。
(由下面 Pooya 的评论提示)如果您使用任何 VPN,还请考虑 VPN 是否可能为流量离开服务器提供后门。