Назад | Перейти на главную страницу

Нужна помощь в определении происхождения спама

В качестве краткой справки у нас есть спам, который рассылается с нашим доменным именем. В результате мы добавили запись SPF в DNS нашего домена, теперь очевидно, что это поможет убедиться, что этот спам не доставляется, однако вопрос в том, действительно ли этот спам исходит от нашего сервера. Мы получили отчет о нарушении от нашего хост-провайдера со следующими заголовками

Received: from mx.poczta.onet.pl (unresolved [10.174.34.83]:53105)
    by ps15.m5r2.onet (Ota) with LMTP id 6B66CFF656749
    for <x>; Fri, 10 Mar 2017 23:36:17 +0100 (CET)
Received: from www.mydomain.com (unknown [xxx.xxx.xxx.xxx])
    by mx.poczta.onet.pl (Onet) with ESMTP id 3vg2DJ4tX1z92
    for <x>; Fri, 10 Mar 2017 23:36:16 +0100 (CET)
Date: Fri, 10 Mar 2017 17:36:15 -0500
To: x
From: Bethany <bethany@mydomain.com>
Subject: [SPAM] Do you want to give your man a strong...?
Message-ID: <8399________________________58f3@www.mydomain.com>
X-Priority: 3
MIME-Version: 1.0
Content-Type: multipart/alternative;
    boundary="b1_8399a58bdbb7157cb3aeb3dc3e3f58f3"
Content-Transfer-Encoding: 8bit
X-ONET_PL-MDA-SEGREGATION: 0
X-ONET_PL-MDA-Version: 1.0.25
X-ONET_PL-MDA-Info: 015 35161 6B66CFF656749 1.000000
X-ONET_PL-MDA-From: bethany@mydomain.com
X-ONET_PL-MDA-Spam: YES

ПРИМЕЧАНИЕ. Я дублировал все места, которые включают мой домен, с "mydomain.com", а фактические IP-адреса моих серверов - с xxx.xxx.xxx.xxx. Вся остальная информация, не прошедшая цензуру, не имеет ко мне никакого отношения, насколько мне известно.

Насколько я понимаю, заголовки SMTP таковы, что ТОЛЬКО верхняя строка «Получено» является истинной, а все «Получено» ниже - подделкой. Если это так, не означает ли это, что спам на самом деле исходит от спамера @ "10.174.34.83", а не от моего собственного IP-адреса xxx.xxx.xxx.xxx?

Также стоит отметить, что Bethany@mydomain.com также не является действительным адресом электронной почты и не существует. Мы используем GSuite для наших писем.

Пожалуйста, не скрывайте личность вашего сервера. Это делает невозможным проверку конфигурации DNS, чтобы помочь вам.

Вы ошибаетесь, полагая, что все полученное - подделка. Однако они могут быть такими. С учетом предоставленных вами заголовков, если IP-адрес во втором заголовке правильный и этот IP-адрес не проходит проверку rDNS, он вполне может исходить из вашей сети. Я предполагаю, что IP-адрес не от вашего почтового сервера, так как его IP-адрес должен был пройти проверку rDNS.

Вот несколько вещей, которые вы можете сделать:

  • Ищите неожиданное программное обеспечение, работающее на сервере с IP-адресом во втором заголовке.
  • Заблокируйте весь интернет-трафик на порту 25 для всех серверов, кроме вашего почтового сервера (ов).
  • Исследовать внедрение DMARC для вашего домена. Это должно дать вам быстрое представление о том, действительно ли вы отправляете спам, а также об IP-адресах, с которых он исходит.
  • На своем почтовом сервере заблокируйте весь исходящий трафик на порту 25 с идентификаторами пользователей, отличными от того, под которым работает ваш почтовый сервер.
  • Убедитесь, что срок действия вашей политики SPF истекает -all, и перечисляет только ваши серверы исходящей почты.
  • Добавьте запись SPF во все домены, не являющиеся почтовыми отправителями (например, www), указав политику -all.
  • Добавьте запись SPF в домен (ы) почтовых серверов, указав политику A -all
  • Убедитесь, что ваш почтовый сервер не пересылает почту из Интернета, если пользователь не прошел аутентификацию. Это должно быть разрешено только в порту представления (587). С указанными заголовками этого не должно быть, если вы не удалите полученные заголовки при отправке почты.
  • Разработайте и внедрите политику электронной почты, такую ​​как моя.