Нужна помощь в определении источника спама

В качестве краткого фона у нас есть спам, который рассылается с нашим доменным именем. В результате мы добавили запись SPF в DNS нашего домена, теперь, очевидно, это поможет убедиться, что этот спам не доставлен, однако вопрос в том, действительно ли этот спам происходит с нашего сервера. Мы получили сообщение о нарушении от нашего хост-провайдера со следующими заголовками

Received: from mx.poczta.onet.pl (unresolved [10.174.34.83]:53105)
    by ps15.m5r2.onet (Ota) with LMTP id 6B66CFF656749
    for <x>; Fri, 10 Mar 2017 23:36:17 +0100 (CET)
Received: from www.mydomain.com (unknown [xxx.xxx.xxx.xxx])
    by mx.poczta.onet.pl (Onet) with ESMTP id 3vg2DJ4tX1z92
    for <x>; Fri, 10 Mar 2017 23:36:16 +0100 (CET)
Date: Fri, 10 Mar 2017 17:36:15 -0500
To: x
From: Bethany <bethany@mydomain.com>
Subject: [SPAM] Do you want to give your man a strong...?
Message-ID: <8399________________________58f3@www.mydomain.com>
X-Priority: 3
MIME-Version: 1.0
Content-Type: multipart/alternative;
    boundary="b1_8399a58bdbb7157cb3aeb3dc3e3f58f3"
Content-Transfer-Encoding: 8bit
X-ONET_PL-MDA-SEGREGATION: 0
X-ONET_PL-MDA-Version: 1.0.25
X-ONET_PL-MDA-Info: 015 35161 6B66CFF656749 1.000000
X-ONET_PL-MDA-From: bethany@mydomain.com
X-ONET_PL-MDA-Spam: YES

ПРИМЕЧАНИЕ. Я перезаписал все места, в которых мой домен указан как "mydomain.com", а фактический IP-адрес моих серверов - xxx.xxx.xxx.xxx. Вся другая информация, не прошедшая цензуру, не имеет отношения ко мне, о которой я знаю.

Насколько я понимаю, заголовки SMTP состоят в том, что ТОЛЬКО верхняя строка "получено" является истинной, а все "полученные" ниже подделаны. Если это так, то не означает ли это, что спам на самом деле исходит от спаммера @ "10.174.34.83", а не от моего собственного IP-адреса xxx.xxx.xxx.xxx?

Также стоит отметить, что Bethany@mydomain.com не является действительным электронным письмом и не существует. Мы используем GSuite для наших электронных писем.

Источник

1 ответ

Решение

Пожалуйста, не запутывайте личность вашего сервера. Это делает невозможным проверку конфигурации DNS, чтобы помочь вам.

Вы ошибаетесь, полагая, что все полученные подделаны. Тем не менее, они могут быть. Учитывая предоставленные вами заголовки, если IP-адрес во втором заголовке является правильным и этот IP-адрес не проходит проверку rDNS, он может исходить из вашей сети. Я предполагаю, что IP не от вашего почтового сервера, так как его IP-адрес должен был пройти проверку rDNS.

Несколько вещей, которые вы можете сделать:

  • Ищите неожиданное программное обеспечение, работающее на сервере с IP-адресом во втором заголовке.
  • Заблокируйте весь интернет-трафик на порту 25 для всех серверов, кроме вашего почтового сервера.
  • Расследовать DMARC для вашего домена. Это должно дать вам быструю информацию о том, действительно ли вы создаете спам, а также IP-адреса, с которых он исходит.
  • На вашем почтовом сервере заблокируйте весь исходящий трафик через порт 25 с идентификаторами пользователя, отличными от того, на котором работает ваш почтовый сервер.
  • Убедитесь, что ваша политика SPF заканчивается -allи только перечисляет ваши серверы исходящей почты.
  • Добавьте запись SPF ко всем доменам, не являющимся почтовыми отправителями (например, www), указав политику -all,
  • Добавьте запись SPF в домен (ы) почтовых серверов, указав политику A -all
  • Убедитесь, что ваш почтовый сервер не пересылает почту из Интернета, если пользователь не прошел аутентификацию. Это должно быть разрешено только для порта отправки (587). С заданными заголовками это не должно иметь место, если вы не удалите полученные заголовки при отправке почты.
  • Разработайте и внедрите почтовую политику, такую ​​как моя.
Источник
Другие вопросы по тегам