Недавно я получил предупреждение для одного из моих серверов от поставщика об отправке спама.
Поскольку я не использую сервер для отправки электронных писем, я удалил postfix / sendmail, удалил запись MX из своего домена, ограничил запись SPF, заблокировал исходящий трафик на портах 25 и 567 и удалил все ненужное программное обеспечение с моего сервера. Но проблема все еще существует, я все еще получаю предупреждения от spamhaus и abuseat, сообщая, что за последние 24 часа было более 10 спамовых писем.
Я также проверил журналы электронной почты, и в них не было журнала исходящих писем, поэтому я думаю, что postfix / sendmail не были проблемой.
Вопрос в том, есть ли другой способ отправлять электронные письма без использования SMTP-реле и с заблокированными портами на брандмауэре, и где мне искать дальше?
Стороннее программное обеспечение, работающее на сервере: Nginx (используется для перенаправления или прокси), Ocserv, Gitea, Taiga, Teamspeak
Во-первых, SMTP обычно находится на порту 25 (который вы заблокировали) и 587 для отправки по SMTP (в вашем вопросе упоминается порт 567 что бесполезно), а также, возможно, порт 465 (SMTPS), так что это порты, которые нужно заблокировать, хотя 465, 587 обычно ожидают / нуждаются в аутентификации, поэтому они будут необычными маршрутами для отправки спама.
Убедитесь, что электронные письма действительно отправляются с сервера / IP-адреса, который вы исследуете, и убедитесь, что вы действительно блокируете эти порты (особенно 25) - попробуйте telnet-соединение с сервера на порт 25 на известном удаленном компьютере. почтовый сервер - вы должны получить приглашение, если порт все еще открыт, и в этом случае порт не заблокирован (например, для сервера gmail),
$ telnet alt1.gmail-smtp-in.l.google.com 25
Trying 2a00:1450:4010:c03::1b...
Connected to alt1.gmail-smtp-in.l.google.com.
Escape character is '^]'.
220 mx.google.com ESMTP c14si24561520lji.153 - gsmtp
quit
221 2.0.0 closing connection c14si24561520lji.153 - gsmtp
Connection closed by foreign host.
$
может тебе там повезет (не). Если приведенное выше не объясняет, что происходит, вот еще несколько идей,
Кто-то подделывает ваш домен (с другого контролируемого им сервера)?
Может ли ваш сервер ретранслировать (через порт 25, 465 или 587) через другой компьютер в вашей организации? Тогда исходный IP-адрес будет являться машиной-нарушителем, даже если электронное письмо выходит из вашей организации с этого другого компьютера.
Обратите внимание, что на машине не требуется установленный почтовый сервер для отправки электронной почты: он может делать все это через эквивалент сеанса telnet на порт 25 в удаленной системе, поэтому журналы почтового сервера часто не показывают злоупотребления например веб-сервер, на который могли быть добавлены или скомпрометированы серверные сценарии.
Вы упомянули, что добавили запись SPF; это хорошая идея, чтобы указать, какие машины должны отправлять электронную почту для вашего домена; вы также можете рассмотреть возможность добавления DKIM и DMARC для увеличения этого показателя, хотя они более сложны в настройке, чем SPF.
(подсказано комментарием Пуйи ниже), если вы используете какие-либо VPN, также подумайте, может ли VPN предоставить черный ход для трафика, уходящего с сервера.