Necessita de ajuda para determinar a origem do email de spam

Navegue suas respostas
4

Como pano de fundo rápido, temos spam enviado com nosso nome de domínio. Como resultado, adicionamos o registro SPF ao DNS do nosso domínio. Agora, obviamente, isso ajudará a garantir que esse spam não seja entregue. No entanto, a pergunta é se esse spam é originário do nosso servidor. Recebemos um relatório de abuso do nosso provedor de hospedagem com os seguintes cabeçalhos 

Received: from mx.poczta.onet.pl (unresolved [10.174.34.83]:53105)
    by ps15.m5r2.onet (Ota) with LMTP id 6B66CFF656749
    for <x>; Fri, 10 Mar 2017 23:36:17 +0100 (CET)
Received: from www.mydomain.com (unknown [xxx.xxx.xxx.xxx])
    by mx.poczta.onet.pl (Onet) with ESMTP id 3vg2DJ4tX1z92
    for <x>; Fri, 10 Mar 2017 23:36:16 +0100 (CET)
Date: Fri, 10 Mar 2017 17:36:15 -0500
To: x
From: Bethany <[email protected]>
Subject: [SPAM] Do you want to give your man a strong...?
Message-ID: <[email protected]>
X-Priority: 3
MIME-Version: 1.0
Content-Type: multipart/alternative;
    boundary="b1_8399a58bdbb7157cb3aeb3dc3e3f58f3"
Content-Transfer-Encoding: 8bit
X-ONET_PL-MDA-SEGREGATION: 0
X-ONET_PL-MDA-Version: 1.0.25
X-ONET_PL-MDA-Info: 015 35161 6B66CFF656749 1.000000
X-ONET_PL-MDA-From: [email protected]
X-ONET_PL-MDA-Spam: YES

NOTA: Eu tenho apelidado todos os lugares que incluem o meu domínio com "mydomain.com" e o IP real dos meus servidores com xxx.xxx.xxx.xxx. Todas as outras informações não censuradas não têm nenhuma relação comigo que eu saiba.

Meu entendimento dos cabeçalhos SMTP é que SOMENTE a linha superior "recebida" é verdadeira e qualquer "Recebida" abaixo é forjada. Se este for o caso, isso não significa que o spam é originário do spammer @ "10.174.34.83" e não do meu próprio IP xxx.xxx.xxx.xxx?

Também pode ser interessante notar que [email protected] também não é um email válido e não existe. Usamos o GSuite para nossos e-mails.

    
por Jacob Sharkey 19.04.2017 / 02:07

1 resposta

9

Por favor, não ofusque a identidade do seu servidor. Torna impossível verificar a configuração do DNS para ajudá-lo.

Você está incorreto em acreditar que todos os recebidos são falsificados. No entanto, eles podem ser. Dados os cabeçalhos que você forneceu, se o IP no segundo cabeçalho estiver correto e o IP não passar na validação do rDNS, pode ser originário da sua rede. Eu suponho que o IP não é do seu servidor de e-mail, pois seu endereço IP deve ter passado a validação do rDNS.

Algumas coisas que você pode fazer:

  • Procure software inesperado em execução no servidor com o endereço IP no segundo cabeçalho.
  • Bloqueie todo o tráfego da Internet na porta 25 de todos os servidores, exceto do (s) seu (s) servidor (es) de e-mail.
  • Investigue a implementação de DMARC no seu domínio. Isso deve lhe dar uma indicação rápida se você realmente está originando spam, bem como os endereços IP de onde está originando.
  • Em seu servidor de e-mail, bloqueie todo o tráfego de saída na porta 25 para formar IDs de usuário diferentes daquele que o seu servidor de e-mail executa.
  • Certifique-se de que sua política de SPF termine -all e liste apenas seus servidores de e-mail de saída.
  • Adicione um registro SPF a todos os domínios que não sejam de email (como www), especificando uma política de -all .
  • Adicione um registro SPF ao (s) domínio (s) de servidores de email, especificando uma política de A -all
  • Verifique se o servidor de email não encaminha mensagens da Internet, a menos que o usuário tenha autenticado. Isso só deve ser permitido na porta de envio (587). Com os cabeçalhos fornecidos, esse não deve ser o caso, a menos que você remova os cabeçalhos recebidos ao enviar mensagens.
  • Desenvolva e implemente uma política de e-mail, como meu .
por 19.04.2017 / 02:35

Tags

Como identificar a versão antiga do KornShell? Inspeção de pacotes SSL no Linux