spamhaus.org 正在阻止我们的 IP,因为我们使用来自单个 IP 的多个域名发送邮件。
信息是
使用 aaa.bbb.ccc.ddd 的设备(计算机、服务器、手机等)或设备上的应用程序受到感染、配置严重错误或被入侵。它正在端口 25 上使用多个不相关的 HELO 值建立 SMTP 连接。
最近的检测时间是:2022 年 5 月 18 日,10:20:00 UTC(+/- 5 分钟)。观察到的 HELO 值为 xxx yyy zzz ,...
我们有很多不同的电子邮件域名(一个客户=一个域名),并且所有电子邮件都是从同一个IP发送的(使用同一个互联网网关的多个不同的服务器)。
我们应该如何处理这个用例?我们目前使用 exim4 作为多台服务器上的邮件服务器。
答案1
您将其配置为为每个服务域显示不同的 HELO 名称?这真是个坏主意。这就是 Spamhaus 对您生气的原因。
- 您的服务器应该具有特定的 FQDN,至少对于邮件服务而言
mail.example.org
; - 将该 FQDN 名称设置为单一常量 HELO 名称,该名称始终由 MTA 显示,无论它现在正在传递哪个域的邮件;
- 该名称应具有解析为服务器 IP 地址的 A 或 AAAA 记录,例如
mail.example.org. A 192.0.2.1
; - 服务器在进行传出连接时使用此 IP 地址或其他 IP 地址。该传出 IP 地址的反向 DNS 查找应指向相同的 FQDN,例如
1.2.0.192.in-addr.arpa. PTR mail.example.org.
; - 理想情况下,启用 STARTTLS 并使用对此 FQDN 有效的 SSL 证书,例如
CN=mail.example.org
SAN 字段包含DNS:mail.example.org
或DNS:*.example.org
。
然后在服务域的 MX 记录中指定此 FQDN,如下所示:(example.com. MX 10 mail.example.org.
不要忘记设置 SPF、DKIM、DMARC 记录)。
请注意,你不能单个 IP 地址有多个 PTR 记录;从技术上讲,您可以这样做,但效果可能不如您所期望的那样。某些 DNS 服务器会检查这三个项目(HELO、HELO 名称的正向 DNS 查询和您的 IP 的反向 DNS 查询)以匹配,如果不匹配,则会阻止消息。这部分解释了为什么您不应该为每条消息更改 HELO 名称。
(本质上等同于这个答案在链接的“典型问题”中)