Я отвечаю за выделенный сервер с панелью управления Plesk, установленной на Windows Server 2008 Web Edition.
Проблема, с которой я столкнулся, связана с настройкой электронной почты на том же сервере с помощью Plesk (он использует MailEnable, хотя и в фоновом режиме). В течение последней недели некоторые из наших клиентов получают много электронных писем «Сбой доставки» от «Подсистемы доставки». Все это поддельные электронные письма, так как наши клиенты не отправляли эти электронные письма для получения возврата. Но каким-то образом они попали в очередь исходящих SMTP нашего сервера.
Реальная проблема заключается в том, что я не могу решить эту проблему, поскольку я имею опыт программирования и не очень разбираюсь в серверной области, но мой клиент дал мне эту работу.
Я проверил, чтобы убедиться, что для MailEnable не включены возможности ретрансляции локального хоста без аутентификации. Но у нас есть опции «Разрешить ретрансляцию для привилегированных адресов» и «Разрешить ретрансляцию для аутентифицированных отправителей». Единственный привилегированный IP-адрес - 127.0.0.1. Ребята из Codero предлагают нам отключить опцию ретрансляции для 127.0.0.1. Это имеет смысл, но тогда это означает, что нам нужно изменить сценарии более чем 50 веб-сайтов, настроенных на нашем сервере, что в настоящее время кажется нереальным.
Откуда они берутся и как их остановить?
РЕДАКТИРОВАТЬ: Давайте возьмем пример, который прояснит ситуацию.
У нас есть домен myabc.com, который является одним из 50 доменов, размещенных на нашем выделенном сервере. Всего несколько дней назад владелец этого домена сообщил мне, что он получает сотни писем с ошибками доставки на одну из своих учетных записей электронной почты, скажем, myemail@myabc.com. Я проверил его почтовый ящик и обнаружил, что он правильный.
Затем, в рамках устранения неполадок, я пошел посмотреть исходящую очередь SMTP на нашем сервере и был удивлен, обнаружив в очереди 16000 писем. Я все же очистил это. Я проверил несколько писем и обнаружил, что все они отправляются через случайные идентификаторы электронной почты, которые даже не настроены на нашем сервере для myabc.com. Но не все случайны, есть и те идентификаторы, которые настроены на нашем сервере, и, следовательно, наш клиент получает письма с возвратом по этим идентификаторам (я проверил себе другой идентификатор электронной почты на myabc.com и обнаружил, что они также получают возвратные электронные письма).
Однако какие бы электронные письма я там ни проверил, я обнаружил, что единственный домен, на который нацелен этот адрес, - myabc.com. Я не нашел ни одной электронной почты, нацеленной на адрес электронной почты в каком-либо другом домене на нашем сервере. Однако я не могу быть уверен на 100%, так как сложно проверить все 16000 писем. Но также ни один другой клиент не сообщил об этом до настоящего времени (и я надеюсь, что никто другой не сделает этого в будущем). Итак, я предполагаю, что, поскольку электронные письма находятся в исходящей очереди SMTP на нашем сервере, поэтому каким-то образом они отправляются только через наш сервер. Как я уже сказал, я программист, поэтому мне трудно устранять неполадки. Пожалуйста, простите меня, если что-то не имеет смысла.
Во-первых, вам следует НИКОГДА иметь неаутентифицированный сервер ретрансляции, подключенный к Интернету. Он будет использован ровно через 15 минут.
Чтобы упростить настройку безопасной системы, вам следует настроить свой почтовый сервер на ретрансляцию почты только в том случае, если выполняется одно из следующих условий:
В MailEnabled это делается через вкладку «relay» коннектора SMTP (посмотри это для более подробной помощи).
Если я правильно понял ваш вопрос, вы были Joe-Jobbed; то есть кто-то еще в Интернете разослал большое количество спама с адресами отправителей в доменах ваших клиентов, а вы получаете отказы от несуществующих получателей (это также известно как "обратное рассеяние").
Если это так, то оставим в стороне плюсы и минусы неаутентифицированных только локальный ретрансляции, поскольку это не имеет ничего общего с предотвращением обратного рассеяния.
Печальная правда в том, что вы ничего не можете сделать, чтобы полностью исключить обратное рассеяние. Это вызвано комбинацией того, что электронная почта не аутентифицирована в отношении отправителя (поэтому вы не можете запретить людям отправлять электронную почту в качестве ваших клиентов) и определенных почтовых серверов, которые я не буду называть не генерирующий "5xx пользователь неизвестен«сбои во время доставки, но вместо этого принимаются недоставленные электронные письма, а затем создаются новые сообщения, чтобы сообщить« отправителю »об ошибке.
Но ты жестяная банка минимизировать обратное рассеяние. Один из способов - использовать SPF, структуру политики отправителя (также известную как Sender-Permitted-From). Это метод использования DNS, чтобы сообщить Интернету, каким серверам разрешено отправлять электронную почту, якобы принадлежащую доменам вашего клиента.
Конечно, вы можете только рекламировать эту информацию; другим нужно настроить свои почтовые серверы для его использования. Но довольно большой процент поступает так, и поскольку спамеры - разумные существа (ну, вроде как), они предпочли бы отправлять почту, которая будет принята 100% получателей, а не только 60% (скажем). Итак: так же, как автомобильная сигнализация не делает вашу машину невозможной украсть, только сложнее украсть, чем машину рядом с ней, поэтому вор уходит, так SPF имеет тенденцию заставлять спамеров предпочитать другие домены, чем ваши клиенты, для своих клиентов. работа.
Рискуя саморекламы, канонический ответ SF на настройку SPF: Что такое записи SPF и как их настроить? ; он включает указатель на главный сайт в сети SPF.
Я не знаю ни одной среды хостинга, которая позволяла бы ретрансляцию без аутентификации (по крайней мере, ненадолго ...). Как сказал Стефан, это проблема безопасности, которую нужно использовать. Как только вы будете известны как ретранслятор спама, вся ваша почта будет занесена в черный список. Как узнать, что один из ваших размещенных доменов еще не взломан? То, что выглядит как обратное рассеяние, на самом деле может быть законным рикошетом, поскольку ваше реле открыто.