В качестве краткой справки у нас есть спам, который рассылается с нашим доменным именем. В результате мы добавили запись SPF в DNS нашего домена, теперь очевидно, что это поможет убедиться, что этот спам не доставляется, однако вопрос в том, действительно ли этот спам исходит от нашего сервера. Мы получили отчет о нарушении от нашего хост-провайдера со следующими заголовками
Received: from mx.poczta.onet.pl (unresolved [10.174.34.83]:53105)
by ps15.m5r2.onet (Ota) with LMTP id 6B66CFF656749
for <x>; Fri, 10 Mar 2017 23:36:17 +0100 (CET)
Received: from www.mydomain.com (unknown [xxx.xxx.xxx.xxx])
by mx.poczta.onet.pl (Onet) with ESMTP id 3vg2DJ4tX1z92
for <x>; Fri, 10 Mar 2017 23:36:16 +0100 (CET)
Date: Fri, 10 Mar 2017 17:36:15 -0500
To: x
From: Bethany <bethany@mydomain.com>
Subject: [SPAM] Do you want to give your man a strong...?
Message-ID: <8399________________________58f3@www.mydomain.com>
X-Priority: 3
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="b1_8399a58bdbb7157cb3aeb3dc3e3f58f3"
Content-Transfer-Encoding: 8bit
X-ONET_PL-MDA-SEGREGATION: 0
X-ONET_PL-MDA-Version: 1.0.25
X-ONET_PL-MDA-Info: 015 35161 6B66CFF656749 1.000000
X-ONET_PL-MDA-From: bethany@mydomain.com
X-ONET_PL-MDA-Spam: YES
ПРИМЕЧАНИЕ. Я дублировал все места, которые включают мой домен, с "mydomain.com", а фактические IP-адреса моих серверов - с xxx.xxx.xxx.xxx. Вся остальная информация, не прошедшая цензуру, не имеет ко мне никакого отношения, насколько мне известно.
Насколько я понимаю, заголовки SMTP таковы, что ТОЛЬКО верхняя строка «Получено» является истинной, а все «Получено» ниже - подделкой. Если это так, не означает ли это, что спам на самом деле исходит от спамера @ "10.174.34.83", а не от моего собственного IP-адреса xxx.xxx.xxx.xxx?
Также стоит отметить, что Bethany@mydomain.com также не является действительным адресом электронной почты и не существует. Мы используем GSuite для наших писем.
Пожалуйста, не скрывайте личность вашего сервера. Это делает невозможным проверку конфигурации DNS, чтобы помочь вам.
Вы ошибаетесь, полагая, что все полученное - подделка. Однако они могут быть такими. С учетом предоставленных вами заголовков, если IP-адрес во втором заголовке правильный и этот IP-адрес не проходит проверку rDNS, он вполне может исходить из вашей сети. Я предполагаю, что IP-адрес не от вашего почтового сервера, так как его IP-адрес должен был пройти проверку rDNS.
Вот несколько вещей, которые вы можете сделать:
DMARC
для вашего домена. Это должно дать вам быстрое представление о том, действительно ли вы отправляете спам, а также об IP-адресах, с которых он исходит. -all
, и перечисляет только ваши серверы исходящей почты. -all
.A -all