Мы используем Office 365 в качестве основного почтового провайдера. У нас есть внутренний почтовый сервер, который мы используем для ретрансляции таких вещей, как отчеты из нашего SSRS, сканирование в почтовый ящик для старых сканеров и т. Д. Это IIS SMTP на сервере 2008R2. Этот сервер не доступен через брандмауэр для какой-либо службы, и, конечно же, не для SMTP, а также ограничены соединения и ретрансляция для нескольких внутренних IP-адресов в нашей сети, которые используют его в качестве реле. Мы используем это, потому что не каждое используемое нами устройство способно напрямую использовать сервисы Office 365 (мы некоммерческая организация, и некоторые из наших старых устройств действительно довольно старые), а также оборудование для управления технологическим процессом на нашем производстве, что просто не позволяет Для SMTP с аутентификацией / TLS, короче говоря, эта система предоставляет несколько важных удобств для локальной сети, и не должно быть причин, по которым мы не можем использовать эти удобства. Мы приняли все меры предосторожности, у нас есть правильные записи DNS для сервера. У меня установлены записи SPF для его IP-адреса, имя, которое сервер объявляет при доставке, разрешается на его общедоступный IP-адрес. В этой конфигурации все отлично работало более 1,5 лет (с момента перехода на Office 365) без проблем.
Внезапно в один прекрасный день вся почта, приходящая от него, начала отклоняться по доверенности на то, что была внесена в списки spamhaus и CBL.abuseat, spamhaus заявляет, что они перечисляются через прокси записи CBL, CBL заявляет, что мы были внесены в список для отправки «ошеломляюще больших объемов спама. ”, Они ссылаются на DNS-имя этого сервера как на источник. Если он не использует протоколы телепатии, мы в среднем около 60 и никогда не отправляли более 100 электронных писем в день, и теперь у меня есть более трех месяцев захваченного трафика, который не показывает ни ОДНОГО сообщения, которое не было отправлено из известного источника, и не был предназначен для адреса, на который мы обычно отправляем (99% из которых все равно являются внутренними адресами!). Таким образом, помимо обличительной речи, которую "справочная страница" извергает обо всех потенциальных причинах этого, как мы, вероятно, были скомпрометированы, как для сканирования на наличие инфекций в службах, которые мы даже не запускаем, и т. д. Мы без сомнения проверили, что это утверждение является ложным, мы контролировали весь сетевой трафик на этот компьютер и с него с зеркального порта коммутатора с помощью Wireshark, мы контролировали весь трафик на нашем пограничном брандмауэре, и наш интернет-провайдер подтвердил то же самое со своего стороны, мы просто НЕ отправляем письма, которые явно не хотели отправлять. С этой машины или с этого IP-адреса. Тем не менее, это если теперь 4-й запрос на удаление, который я должен был обработать с ними. Мне удалось получить два электронных письма от их системы, так как я запрашивал образцы писем, которые, по их утверждениям, были отправлены нами, одно - это дословная копия их «Справочной страницы» и запрос на соответствующий IP-адрес, а другое - какой-то бодрый ответ, похожий на робота, подписанный «Мюррей», и совершенно бесполезный. Похоже, что один был шаблонным ответом на первый IP-запрос, в котором говорилось, что он уже отправлен на удаление.
Мы связались с Microsoft, чтобы узнать, что их фильтрация соединений происходит до нашего административного контроля, что означает, что установка «одобренного отправителя» бесполезна, если фильтры репутации IP отключают нас до того, как он достигает этого уровня. Поэтому мы не можем занести это в белый список. И они не берут на себя никакой ответственности за использование службы или тот факт, что она контролирует поток почты между нашей платной службой и нашей бизнес-сетью таким образом, чтобы ни один из нас не мог его изменить. Единственное, что мы можем себе представить, это то, что может быть одно из сообщений сканирования входящих сообщений перенаправляется куда-то в какой-то чрезмерно усердный фильтр спама, и мы помечаемся как метод транспортировки в цепочке. Так что мне нечего делать, я не могу избавиться от злоупотреблений, я не могу заставить Microsoft сдвинуться с места, у меня есть доказательства того, что мы ложно внесены в список, и нет никаких доказательств обратного, чтобы даже начать изучать дальше. полная потеря того, что делать, кроме как начать менять свой публичный IP и все службы, зависящие от него. В прошлом я имел дело с открытой защитой реле и устранением последствий, но это абсолютно подтвержденная подделка, и не с кем браться за это. Но они схватили нас за короткие волосы.