我正在为学校协会运行电子邮件服务器,我们为毕业生提供电子邮件转发服务,以我们的域名为他们提供电子邮件别名,例如[电子邮件保护],我们将该电子邮件转发至他们在我们这里注册的指定个人地址。
我们最近从一个非常老旧的电子邮件服务器升级,该服务器不再支持较新的 TLS 版本,并移至 ubuntu20 postfix + spamassassin + perl spf 检查配置。设置后,我们发现该 IP 在发送垃圾邮件方面确实名声不佳。我再次检查了 postfix main.cf,发现 postfix 不应作为开放中继工作。
smtpd_sender_restrictions =
permit_mynetworks,
permit_sasl_authenticated,
reject_non_fqdn_sender,
reject_unknown_sender_domain
smtpd_relay_restrictions =
permit_mynetworks,
permit_sasl_authenticated,
defer_unauth_destination
电子邮件数量查询有点令人担忧,因为有些网站似乎记录了我的 IP 在某些日子里发送了全球 3000 万封电子邮件中的 1 封
https://talosintelligence.com/reputation_center/lookup
当然,我不认为他们已经窃听了我的服务器来检查我,所以我不知道他们的数据来自哪里
我正在考虑检查是否有其他程序可能在我的服务器上发送电子邮件
我已经设置了 ufw 以允许目标端口 25 通过登录出去
#sudo ufw status
To Action From
-- ------ ----
25 ALLOW OUT Anywhere (log)
我看到过去 60 小时内 ufw.log 中通过 grep "DPT=25 " 列出了大约 6000 条条目,考虑到我们的成员数量达到 1000 人,这对我来说似乎是合理的。
还检查了 mail.log,投递的行数(250 ok、550*、454*)加起来大约有 3000 行。
此外,我还多次看到 Postfix 尝试发送一些未送达通知,但连接要么超时,要么被拒绝。从那时起,我增加了最小和最大退避时间,并减少了队列寿命,以尝试减少我们在别名上收到的一些垃圾邮件的重试量。
我还收到了来自 Gmail 和其他一些 smtp 服务器的退回邮件
status=bounced (host gmail-smtp-in.l.google.com[74.125.130.26] said: 550-5.7.26 This message does not have authentication information or fails to 550-5.7.26 pass authentication checks. To best protect our users, the message has been blocked
status=bounced (host gmail-smtp-in.l.google.com[74.125.130.26] said: 550-5.7.1 [MY IP] Our system has detected that this message is 550-5.7.1 likely unsolicited mail. To reduce the amount of spam sent to Gmail, this message has been blocked
status=bounced (host gmail-smtp-in.l.google.com[74.125.130.26] said: 550-5.7.1 [MY IP] Our system has detected that this message is 550-5.7.1 likely suspicious due to the very low reputation of the sending IP 550-5.7.1 address. To best protect our users from spam, the message has been 550-5.7.1 blocked.
status=deferred (host imsmx1.netvigator.com[219.76.94.45] refused to talk to me: 554-wironin01.netvigator.com 554 Rejected: Spam email from server IP <MY IP> is blocked by Talos Please go to "https://www.talosintelligence.com/reputation_center/lookup?search=MY IP"
status=deferred (connect to mail.feed-silver.cam[89.144.62.60]:25: Connection refused)
(sender non-delivery notification) status=bounced (host aspmx.l.google.com[142.251.12.26] said: 550-5.1.1 The email account that you tried to reach does not exist. Please try 550-5.1.1 double-checking the recipient's email address for typos or 550-5.1.1 unnecessary spaces.
- 我是否应该担心其他进程正在向我的服务器发送电子邮件,破坏我的电子邮件声誉?这就是为什么我希望能够从 ufw 日志中检查哪些进程试图连接到外部 25 端口
- 电子邮件信誉网站数据可靠吗?我的意思是,我不确定电子邮件数量超过 2 是否值得担心,但 netvigator 作为 ISP 检查它,使其具有合理的可信度。
- 为我们提供电子邮件转发服务的协会。我们应该直接丢弃垃圾邮件分数高的电子邮件,还是简单地使用 spamassassin 的默认做法,在主题中添加 [SPAM],让最终收件人决定处理方式?参考:https://support.google.com/a/answer/175365?hl=en
- 我们转发垃圾邮件是否会破坏我们发送 IP 的声誉?
- 我们应该将发件人未送达通知转发回发件人吗?虽然有时我在邮件日志中看到它似乎立即失败,但怀疑它们是伪造的标题电子邮件。
- 是否有任何 IP 与域名的 SPF 等效?或者由于电子邮件中继而完全不可能。
- 设置 dkim 有助于提高我的 IP 声誉吗?我们确实有少量电子邮件通过我们自己的域发送。
答案1
- 是也不是。你应该担心;找出真正的原因。但罪魁祸首可能不是邮件服务器。它也可能是网络中共享公开可见 IP 的恶意设备。但由于我们不知道您的网络拓扑,因此这纯粹是猜测。
- 是的,他们信誉良好。IP 使用的时间越长(用于非正常邮件和垃圾邮件),分析就越可靠。如图所示的异常大峰值令人担忧,需要彻底调查原因。
- 既不标记(然后中继),也不丢弃。必须先拒绝,然后才能接受邮件。这称为预排队过滤。
- 绝对是的。但你现在的问题有些不同。黑客、垃圾邮件机器人、账户泄露、中继攻击、病毒……
- NDN 必须发回给原始发件人。但首先要实施 3)。还要监控 NDN,看看您的转发地址是否仍然存在。有些用户关闭了他们的帐户,但没有通知您转发从此将永远无法正常工作,或者必须到达其他地址。
- 我不明白这一点。SPF 是根据域名对发送 IP 进行分类。或者你是指 DNSRBL?它们也应该是你的 3) 反垃圾邮件措施的一部分。
- 是的,但对于转发邮件来说它并没有真正的帮助。它有助于从您的终端发起邮件。但真正的垃圾邮件爆发会损害声誉。
因此,首先要找到罪魁祸首并消除它。然后应用反垃圾邮件技术,尽量减少垃圾邮件的接收,从而减少垃圾邮件的转发。通过拒绝传入邮件来实现这一点;过滤是不好的,除非您在 SMTP 对话期间进行预排队过滤。
完成这些之后,问问自己是否应该转发邮件。所有邮件客户端都可以处理多个帐户,因此请自行托管邮件。