Назад | Перейти на главную страницу

Спуфинг домена со спамом через SES

Похоже, что спамер отправляет спам через SES и подменяет наш домен.

Мы используем SPF и DKIM, поэтому я не понимаю, что происходит.

Это наша запись SPF:

v=spf1 a mx include:amazonses.com include:_spf.google.com include:secureserver.net ~all

Один из получателей спама прислал мне свой заголовочный файл. Я приложил результаты Инструмент анализа заголовков электронной почты Google как для спама, так и для законного электронного письма из нашего домена.

Вот анализ заголовков спама:

Вот анализ законных заголовков писем:

Как видно из отчетов, результаты SPF и DKIM отображаются как «нейтральные» для спама и «пройдены» для законных сообщений. Спам также направляется через сторонний сервер, который выглядит подозрительно.

Есть ли у кого-нибудь идеи, что может происходить и как это остановить?

Фактические заголовки могут сказать вам больше, чем анализ с помощью инструмента анализа заголовков Googles. Заголовок Authentication-Results расскажет вам о точных проверках, выполненных на каких доменах.

Как заметил Майкл, это вполне может быть поддельный идентификатор сообщения и набор заголовков. Amazon SES заставляет вас подтверждать свой адрес электронной почты или домен, прежде чем вы сможете отправлять электронные письма.

Однако, видя, что СПАМ, возможно, был отправлен через службу, которую вы используете, и вашему клиенту, возможно, произошла утечка ваших ключей API или учетных данных, а ваша учетная запись SES была нарушена. В вашем случае кажется, что сообщения пересылаются подозрительным сервером после замены Return-Path заголовок (на котором проверяется SPF) и удаление подписи (-ов) DKIM.

Вы должны увидеть значение Return-Path и IP-адрес подключения (к серверам Google) в необработанных заголовках. Это должно дать вам представление о том, что происходит. Кроме того, вы можете зарегистрировать заявку в службу поддержки на Amazon, чтобы проверить конкретный идентификатор сообщения.

Чтобы предотвратить возникновение этой ситуации, вы можете рассмотреть возможность настройки DMARC. Это фактически защитит домен, используемый в FROM заголовок от подделки.