У меня есть собственный почтовый сервер. В настоящее время нет проблем с занесением в черный список, но я хочу быть активным в этом отношении и хочу начать с файлов журнала.
В моих файлах журнала были некоторые записи, указывающие на черный / серый список моего IP или какое-то ограничение скорости:
Пример 1 - серые списки
Sep 28 10:12:49 server postfix/smtp[7872]: 33AE9C2239: host mxcluster2.one.com[91.198.169.9] said: 450 4.7.1 <redacted@redacted>: Recipient address rejected: redactedServerIP temporary greylisted by CYREN IP reputation (in reply to RCPT TO command)
Пример 2 - ограничение скорости Google
Oct 22 09:22:30 server postfix/smtp[2048]: C28CAC0855: host gmail-smtp-in.l.google.com[74.125.136.27] said: 421-4.7.0 [redactedServerIP 10] Our system has detected an unusual rate of 421-4.7.0 unsolicited mail originI ating from your IP address. To protect our 421-4.7.0 users from spam, mail sent from your IP address has been temporarily 421-4.7.0 rate limited. Please visit 421-4.7.0 https://support.google.com/mail/answer/81126 to review our Bulk Email 421 4.7.0 Senders Guidelines. hw7si16653285wjb.208 - gsmtp (in reply to end of DATA command)
Я хочу иметь автоматизированный способ информирования меня о таких событиях. Моя первоначальная идея заключалась в том, чтобы использовать fail2ban, фильтровать с некоторым регулярным выражением (у меня есть только 2 примера создания шаблона) и отправить электронное письмо как действие. Другие отправные точки / примеры для сопоставления регулярных выражений могут быть общие коды ошибок SMTP или из различные провайдеры.
Параллельно с этим я слежу за черными списками, чтобы увидеть, всплывает ли мой IP-адрес, но я тоже хочу видеть его из журналов.
Мои вопросы :
Я не знаком с Fail2ban, но ваш подход кажется правильным. Вы можете не получать в журналах сообщение о том, что вы занесены в черный список - это зависит от службы, которая отклоняет ваше сообщение, если она дает вам причину отказа. При этом мы видели их, где они явно указывали, что IP-адрес был внесен в черный список или включен в RBL, поэтому вам, вероятно, нужно проверить все эти ключевые слова. Я видел 550 сообщений, связанных с этим.
Я также был бы уверен, что ваша запись SPF настроена. Другие системы не проверяют действительные записи SPF в DNS, и если они не существуют или не совпадают, они могут быть помечены. Слишком много из них могут попасть в черный список.
Если вы отправляете через Google или другой смарт-хост для внешнего ретранслятора, обязательно следуйте их инструкциям по использованию. Если вам нужно отправлять массовые сообщения, вам может потребоваться использовать другого провайдера. Microsoft, Google и другие отключат ретрансляторы сообщений, если сочтут, что вас взломали.