Я технический помощник в публичной библиотеке небольшого городка, где у нас есть собственная электронная почта. Если это важно, то это Postfix для Ubuntu 18.04. Шлюз / брандмауэр - это блок 16.04 с переадресацией портов, настроенной с помощью сценария, который запускается при загрузке и выдает длинную последовательность команд iptables.
Сегодня наш IP-адрес попал в два заблокированных списка Spamhaus, сначала в SBL, а затем в XBL. На прошлой неделе, после того, как у нас был отказ исходящего сообщения, я увидел, что мы были в списке SBL. Я прошел через процесс удаления, и он был удален. Но проблема вернулась сегодня днем, и веб-сервер в Spamhaus сделал вид, что принимает мои запросы на удаление IP-адреса, но он остался в списке и после нескольких запусков также появился на XBL.
Я позвонил нашему интернет-провайдеру, и его сетевой инженер проделал все шаги по удалению и фактически удалил его. (Или, возможно, так долго обрабатывался мой первый запрос.)
Куда мне идти дальше? Я всего лишь начинающий системный администратор и то, чего я не знаю, может заполнить ... библиотеку. Чтобы это не повторилось, мне нужно выяснить, что отправляет спам. Я пробовал tcpdump на внешнем сетевом адаптере для шлюза, наблюдающего за портом 25, но я не увидел ничего подозрительного (для меня) за то время, пока я смотрел (постфактум, и это было незадолго до того, как я перешел к чему-то другому , Я признаю). Но я даже не знаю, что происходит и что выходит, и я уже не в себе. Я установил Wireshark на шлюз, но вскоре удалил его, потому что для его работы требовался графический рабочий стол. Я просмотрел /var/log/mail.log, но не вижу ничего похожего на рассылку рассылки (но как это будет выглядеть?).
Я бегу sudo tcpdump -i enp3s0 port 25 | tee feb26-27-overnight.log в течение ночи (на шлюзе, отслеживая внешнюю сетевую карту) в надежде найти что-то, на что можно переть. Но было бы неплохо, если бы существовал простой способ узнать, что происходит, без необходимости проведения кибер-криминалистического расследования, просто чтобы иметь возможность отправлять людям электронные письма.
Продолжение! Как мне убедиться, что только мой почтовый сервер отправляет электронную почту через мою сеть?
Where should I go from here?
Я не пытаюсь быть бойким или пренебрежительным, но вам следует переместить свою электронную почту в профессиональную службу. Office 365. GSuite. Без разницы. Нет веских причин, по которым ваша организация должна размещать вашу электронную почту дома в 2020 году. Вы не можете обеспечить уровень доступности, масштабируемости и надежности, который могут обеспечить эти службы ... не говоря уже о вашей текущей проблеме репутации электронной почты, которую вы выиграли » не иметь с этими услугами.
Единственные веские причины, по которым вы продолжаете делать это самостоятельно, - это либо проблемы с бюджетом, либо юридические проблемы, которые не позволят вам перенести электронную почту «из дома».
На данный момент я настроил все для SPF, DKIM и, наконец, DMARC. Детали реализации будут отличаться в зависимости от сети и платформы, поэтому я не буду подробно описывать все, что делал. Но, сделав все это, кажется, значительно улучшилось получение моей почты.
SPF: Довольно низко висящий фрукт. Все, что вам нужно сделать, это настроить DNS-запись, в которой указано, кому разрешено отправлять вам почту, и есть много ресурсов, которые помогут вам ее составить, например Мастер SPF.
ДКИМ: Относительно сложно. Вам нужно иметь дело с ключами и кучей других вещей на стороне сервера, а затем настроить соответствующую запись DNS. Я последовал за эти инструкции для Ubuntu (с использованием Postfix и Dovecot) на LinuxBabe. Это позволяет проверять электронную почту на подлинность, чтобы отправитель не просто подделал источник, чтобы притвориться от вас.
DMARC: просто, но сначала вам необходимо настроить хотя бы один из SPF и DKIM. Как и в случае с SPF, вы просто создаете DNS-запись, которая сообщает третьим лицам, что делать с вашей почтой, если она не проходит SPF и / или DKIM. Общая мудрость - начать с «p: none» и некоторое время читать отчеты, пока вы не убедитесь, что вся ваша исходящая почта (которая может быть из более чем одного источника - например, мы также используем Sendgrid), проходит. (Например, вы можете получать ежедневные дайджесты из Gmail.) Затем вы можете увеличить свою рекомендацию до «p: quarantine» или «p: reject». Некоторая основная информация Вот.
О, и быстрое, что нельзя делать: не используйте псевдонимы виртуальных доменов или как там они называются для целей пересылки. Их не только неудобно использовать (мне приходилось объяснять их для каждого псевдонима, который мог иметь пользователь, хотя может быть и другой способ), но также я думаю, что они пересылают сообщения до того, как пройдут через любой из ваших собственных спамов. правила фильтрации. Outlook заблокировал нас почти сразу после пересылки электронного письма одного из наших сотрудников на их учетную запись Hotmail. Вместо этого, поскольку на нашем сервере настройки users = mail users, мы можем просто настроить файл .forward в домашнем каталоге пользователя с таким содержимым: externalaccount@externalsite.com, \localusername. Это гораздо более элегантно и срабатывает только после того, как сообщение действительно достигает почтового ящика.