В последнее время я получаю несколько тревожных отчетов DMARC от Google. К сожалению, я не умею их расшифровывать.
У меня есть учетная запись на Protonmail, настроенная для использования моего домена, lesha.co, с включенным DKIM / SPF / DMARC (все зеленые галочки). У меня нет проблем с отправкой и получением электронной почты. Еще у меня есть VPS (DigitalOcean) с ip 159.65.24.0 что соответствует тому же доменному имени.
Несколько дней назад я получил этот отчет от Google:
<?xml version="1.0" encoding="UTF-8" ?>
<feedback>
<report_metadata>
<org_name>google.com</org_name>
<email>noreply-dmarc-support@google.com</email>
<extra_contact_info>https://support.google.com/a/answer/2466580</extra_contact_info>
<report_id>11000141070196917411</report_id>
<date_range>
<begin>1576281600</begin>
<end>1576367999</end>
</date_range>
</report_metadata>
<policy_published>
<domain>lesha.co</domain>
<adkim>r</adkim>
<aspf>r</aspf>
<p>none</p>
<sp>none</sp>
<pct>100</pct>
</policy_published>
<record>
<row>
<source_ip>159.65.24.0</source_ip>
<count>119</count>
<policy_evaluated>
<disposition>none</disposition>
<dkim>fail</dkim>
<spf>fail</spf>
</policy_evaluated>
</row>
<identifiers>
<header_from>lesha.co</header_from>
</identifiers>
<auth_results>
<spf>
<domain>lesha.co</domain>
<result>softfail</result>
</spf>
</auth_results>
</record>
</feedback>
Дело в том, что этот сервер не должен отправлять электронные письма, но есть 119 случаи что-то который не проходит проверку DKIM / SPF. А потом есть auth_results, Я не знаю, для чего это.
Есть признаки того, что мой сервер отправляет электронные письма, даже если этого не должно быть. /var/auth.log заполнен неудачными попытками аутентификации (я отключил аутентификацию по паролю в SSH, разрешены только ключи). Мне нужен способ проверить, какой процесс / приложение их отправляет и почему, как я могу это сделать?
Разве не проще просто сжечь мосты, очистить VPS и повторно развернуть?