Наш провайдер заблокировал нашу учетную запись с 5000+ клиентами и их сайтами. Причина заключалась в том, что весь диапазон IP-адресов был занесен в черный список SpamHouse, но наш провайдер не объяснил, какие электронные письма, какие IP-адреса и с каким именно содержанием были отправлены.
Так что сейчас мы просто заблокированы, 5000+ сайтов не работают, а все пользователи стонут. Как видите, большие проблемы.
Первое, что у меня есть, это то, что мы можем (или должны?) Купить отдельный профессиональный SMTP-сервер, полностью настраиваемый с помощью графического интерфейса и интегрированный с большим количеством программного обеспечения для обнаружения спама ... так что плохие исходящие электронные письма будут остановлены и смогут обнаруживать кто делает нехорошие дела -> а потом закроет свои аккаунты на нашем хостинге.
Это хорошая идея или у вас есть какие-то другие идеи, чтобы эффективно и быстро найти решение этой проблемы? Он должен быть на 100% эффективным, поскольку это единственный способ убедить нашего провайдера отменить блокировку нашей учетной записи.
Пожалуйста, срочно помогите, так как мы теряем наш бизнес ....
Заранее спасибо, Антон
P.S. Этот вопрос дублируется на: https://stackoverflow.com/questions/3921906/im-hosting-reseller-and-i-got-spam-problems-please-help-to-solve
UPD. После всех ваших комментариев - теперь мы ищем специалиста на должность администратора сервера в нашей компании.
Нет извините. Вам нужно контролировать свою исходящую электронную почту.
Вы делаете не тем не менее, нужен полный анто-спам - достаточно, если вы можете пометить каждое (!) исходящее письмо с идентификатором, который вы можете отследить до клиента (учетной записи), который его отправил, а затем законно следить за этим (то есть закрыть ваших клиентов, возмещайте с них расходы).
Но здесь у вас явно есть проблема - или у ваших клиентов. Вероятно, их сайты используют боты.
Мне не совсем понятно, о чем вы спрашиваете, и вы не предоставляете много деталей о своей текущей ситуации. Что поможет правильно ответить на ваш вопрос:
Разрешая другим пользователям отправлять электронную почту с вашего сервера или через него, вы должны сначала убедиться, что:
Судя по вашему вопросу, я не думаю, что дополнительные серверы вообще будут решением.
Вы должны взять это под контроль, и если вы не можете, вам определенно не следует думать об управлении другим сервером.
Если вы ищете простой в настройке и управлении почтовый сервер с антиспамом и антивирусом + отслеживание входящих и исходящих сообщений, настройте что-нибудь, работающее под управлением postfix + spamassassin + clamav + MailScanner - большая часть работы по установке будет фактически выполнена пакетом MailScanner, и он хорошо работает с CentOS - у меня так настроено 8 почтовых серверов. Начните здесь с MailScanner и вот как
Поймать спамера в вашей сети - это больше ручная работа, чем что-либо еще (из моей истории). Я бы использовал почтовый шлюз (postfix будет делать это) с очередями для каждого клиента. Все клиентские серверы должны быть настроены на использование почтового шлюза в качестве смарт-хоста, чтобы электронные письма, отправленные на локальный хост (либо с помощью sendmail, либо путем подключения к службе sendmail localhost), доходили до шлюза. Также необходимо установить правило брандмауэра для перенаправления трафика с внешнего порта 25 на почтовую службу localhost (или напрямую на smarthost). На почтовом шлюзе вы должны заморозить электронные письма по прибытии на 2-3 минуты и использовать скрипт cron для подсчета количества писем из каждой очереди. Разморозьте электронные письма из очередей, в которых общее количество писем меньше порогового значения (спамеры работают быстро, они обычно отправляют тонны за секунды). Выполнение этого вручную в течение некоторого времени позволит вам обнаружить некоторые закономерности в почтовом трафике. Также поможет milter spamassassin. Настройка очереди для каждого клиента может быть немного сложной и, безусловно, потребует некоторых сценариев, но поможет найти спамера и заставить все работать для других клиентов.
С другой стороны, если что-то действительно плохо, вам следует отключить трафик smtp для всех и повторно включить его по запросу клиента. Для них это означает простои почтовой службы, но больше контроля с вашей стороны. В любом случае, учитывая ситуацию, я не думаю, что вновь возникший «простой» много значит. И да, вам нужен сисадмин. Не чуткий гуру. Не совсем задача щелчка мышью;)
Мне интересно, что вы уже делаете, чтобы смягчить проблему.
Вы говорите, что Spamhouse не будет рассказывать вам об электронных письмах. По моему опыту, такая рутина. Заголовки можно подделать, и на отслеживание событий может уйти много времени. Проще просто занести в черный список автора сообщения о спаме и возложить на него бремя доказывания, что с него убрали. Часто отправителем является A) спамер, который собирается перейти в другой блок, или B) какой-то ничего не подозревающий пользователь, который заразил свою систему ботом, поэтому их интернет-провайдер уже снижает риск, блокируя весь исходящий трафик порта 25, если он не исходит от их почты. IP сервера.
Итак, что вы делаете сейчас, чтобы смягчить проблему? Вы помечаете исходящую почту специальным идентификатором для клиента? У них есть собственные очереди? Вы отслеживаете объем исходящей почты и ограничиваете скорость отправки, чтобы они не могли отправлять необоснованные объемы почты? Вы блокируете исходящий трафик порта 25, если у клиента нет специального запроса на почтовую службу? Создавать отчеты по мониторингу полосы пропускания, используемой вашими клиентами, для обнаружения аномалий в случае взлома их хост-сервера? Или вы буквально хостите, позволяя своим пользователям делать все, что им заблагорассудится?
Я думаю, что если вы еще ничего не сделали, вам нужно будет серьезно переработать логическую схему сети. Вам понадобится почтовый сервер (возможно, больше в зависимости от ваших клиентов), блокировка исходящего трафика для SMTP только для клиентов, которым нужна электронная почта за пределами вашей сети, включение сценариев мониторинга и ограничение скорости, и вы можете рассмотреть возможность сканирования исходящего спама, хотя это может вызвать проблемы с исходящей почтой клиентов, если она неправильно помечена как спам, и их почта просто исчезает в эфире. Я лично не советовал бы этого или, по крайней мере, настроить его так, чтобы он обнаруживал наиболее очевидный спам, или, в качестве альтернативы, предлагал бы клиентам выбрать или отказаться от использования. При размещении 5000 клиентов вам вполне может потребоваться системный администратор для наблюдения за настройкой спама / электронной почты. Отслеживание отчетов и аудит пропускной способности вашего размещенного пользователя может занять довольно много времени.
Это не ответ на фактическое сканирование почты, но это метод потенциального обнаружения источника. Если ваш хостинг поддерживает PHP, а ваш почтовый шлюз - это просто sendmail, вы, скорее всего, не имеете ни малейшего представления о том, что проходит через него и откуда он приходит.
Помните, что это для PHP + sendmail. Он включает в себя настройку файла, который добавляется ко всем сценариям PHP, который устанавливает переменные среды (prepend.php), которые затем регистрируются, когда почта отправляется с использованием PHP, путем вызова оболочки для sendmail (sendmailwrap) вместо прямого вызова sendmail.
В вашем php.ini
auto_prepend_file = /usr/local/etc/prepend.php
sendmail_path = /usr/local/bin/sendmailwrap
Содержание /usr/local/etc/prepend.php
<?php
putenv("PHP_HTTP_HOST=".@$_SERVER["HTTP_HOST"]);
putenv("PHP_SCRIPT_NAME=".@$_SERVER["SCRIPT_NAME"]);
putenv("PHP_SCRIPT_FILENAME=".@$_SERVER["SCRIPT_FILENAME"]);
putenv("PHP_DOCUMENT_ROOT=".@$_SERVER["DOCUMENT_ROOT"]);
putenv("PHP_REMOTE_ADDR=".@$_SERVER["REMOTE_ADDR"]);
Содержание /usr/local/bin/sendmailwrap:
#!/bin/sh
logger -p mail.info sendmail-wrapper-php: site=${PHP_HTTP_HOST}, client=${PHP_REMOTE_ADDR}, script=${PHP_SCRIPT_NAME}, pwd=${PWD}, uid=${UID}, user=$(whoami)
/usr/sbin/sendmail -t -i $*
Дело в том, что ваш файл журнала sendmail теперь будет иметь что-то вроде следующего:
Oct 13 10:10:10 host user: sendmail-wrapper-php: site=www.example.com, client=10.10.10.5, script=/spam.php, pwd=/var/www/example.com/htdocs, uid=1001, user=www
Если это настроено неправильно, вы можете ограничить возможность своих клиентов отправлять почту, поэтому изучите шаги и проверьте, прежде чем запускать в производство.