Регистрация Войти
Рейтинг:0
avatar Server

проверьте, какие процессы подключаются к внешнему порту

флаг au
Jimmy Chi Kin Chau

Я использую сервер электронной почты для школьной ассоциации, и мы предлагаем услугу пересылки электронной почты для выпускников, предлагая им псевдоним электронной почты в нашем доменном имени, например, [email protected], и мы пересылаем электронную почту на указанный ими личный адрес, зарегистрированный у нас. .

Недавно мы обновили очень старый почтовый сервер, на котором более новая версия TLS больше не поддерживается, и перешли на конфигурацию проверки ubuntu20 postfix + spamassassin + perl spf. После настройки мы обнаружили, что этот IP-адрес имеет плохую репутацию из-за рассылки спама. Я снова проверил постфикс main.cf, и постфикс не должен работать как открытый ретранслятор.

smtpd_sender_restrictions =
    разрешение_mynetworks,
    разрешение_sasl_аутентифицированный,
    reject_non_fqdn_sender,
    reject_unknown_sender_domain
smtpd_relay_restrictions =
    разрешение_mynetworks,
    разрешение_sasl_аутентифицированный,
    defer_unauth_destination

поиск объема электронной почты был немного тревожным, поскольку какой-то веб-сайт, кажется, записывает мой IP-адрес, отправляя 1 из 30 миллионов электронных писем в мире в некоторые дни.

https://talosintelligence.com/reputation_center/lookup

история электронной почты репутация электронной почты

конечно, я не думаю, что они прослушивали мой сервер, чтобы проверить меня, поэтому я не знаю, откуда берутся их данные

Я думаю проверить, есть ли какая-либо другая программа, которая может отправлять электронную почту на мой сервер.

Я настроил ufw, чтобы разрешить порт назначения 25 для входа в систему.

#sudo ufw статус
К действию от
-- ------ ----
25 РАЗРЕШИТЬ ВСЕ ВСЕГДА (журнал)

Я вижу около 6000 исходящих записей за последние 60 часов в ufw.log с помощью команды grep "DPT=25", что кажется мне разумным, учитывая, что у нас порядка 1000 участников.

также проверил mail.log, количество строк для доставки (250 ok, 550 *, 454 *) составляет примерно 3000 строк.

А также я много раз видел, как постфикс пытается доставить какое-то уведомление о недоставке, но соединение либо истекает по тайм-ауту, либо отклоняется. С тех пор я увеличил минимальное и максимальное время отсрочки и уменьшил время жизни очереди, чтобы попытаться уменьшить объем повторных попыток некоторых спам-писем, которые мы получаем по псевдонимам.

Я также получаю отказы, например, от gmail и некоторых других smtp-серверов.

status=bounced (хост gmail-smtp-in.l.google.com[74.125.130.26] сказал: 550-5.7.26 Это сообщение не содержит данных аутентификации или не может пройти проверку аутентификации 550-5.7.26. Для лучшей защиты наши пользователи, сообщение заблокировано
status=bounced (хост gmail-smtp-in.l.google.com[74.125.130.26] сказал: 550-5.7.1 [МОЙ IP] Наша система обнаружила, что это сообщение 550-5.7.1, вероятно, нежелательная почта. уменьшите количество спама, отправляемого в Gmail, это сообщение было заблокировано
status=bounced (хост gmail-smtp-in.l.google.com[74.125.130.26] сказал: 550-5.7.1 [МОЙ IP] Наша система обнаружила, что это сообщение 550-5.7.1 вероятно подозрительно из-за очень низкая репутация отправляющего адреса IP 550-5.7.1.Чтобы лучше защитить наших пользователей от спама, сообщение было заблокировано 550-5.7.1.
status=deferred (хост imsmx1.netvigator.com[219.76.94.45] отказался разговаривать со мной: 554-wironin01.netvigator.com 554 Отклонено: спам с IP-адреса сервера <МОЙ IP> заблокирован Talos. Пожалуйста, перейдите по ссылке "https: //www.talosintelligence.com/reputation_center/lookup?search=МОЙ IP"
status=deferred (подключиться к mail.feed-silver.cam[89.144.62.60]:25: в соединении отказано)
(уведомление отправителя о недоставке) status=bounced (хост aspmx.l.google.com[142.251.12.26] сказал: 550-5.1.1 Учетная запись электронной почты, к которой вы пытались обратиться, не существует. Попробуйте 550-5.1.1 двойная проверка адреса электронной почты получателя на наличие опечаток или 550-5.1.1 ненужных пробелов.
  1. Должен ли я беспокоиться, что какие-либо другие процессы отправляют электронную почту на мой сервер, разрушая мою репутацию электронной почты? вот почему я хотел бы проверить из журнала ufw, какие процессы пытались подключиться к внешнему порту 25
  2. Надежны ли данные сайта о репутации электронной почты? Я имею в виду, я не уверен, что объем электронной почты 2+ вызывает беспокойство, но netvigator, будучи интернет-провайдером, проверяет, что это дает разумный уровень доверия.
  3. для нашей ассоциации, предоставляющей услуги пересылки электронной почты. Должны ли мы полностью отбрасывать электронные письма с высоким рейтингом спама или просто использовать стандартную практику spamassassin, чтобы добавить [СПАМ] в тему и позволить конечному получателю решить, как обращаться? Справка: https://support.google.com/a/answer/175365?hl=ru
  4. пересылаем ли мы спам по электронной почте, искажаем репутацию нашего отправляющего IP-адреса?
  5. должны ли мы передать отправителю уведомление о недоставке обратно отправителю? Хотя иногда я читаю в почтовом журнале, кажется, что он немедленно терпит неудачу, подозреваю, что это поддельный заголовок электронной почты.
  6. существует ли какой-либо IP-эквивалент SPF для доменного имени? или это совершенно невозможно из-за ретрансляции электронной почты.
  7. помогает ли настройка dkim репутации моего IP? у нас есть небольшой объем электронной почты, который отправляется через наш собственный домен.
100
0 + 0
флаг cn
Bob
В общем, проблема с предоставлением услуги пересылки заключается в том, что если вы не проводите достаточно строгую фильтрацию, вы также будете пересылать весь спам, который получают люди. И ваш сервер чаще всего будет считаться источником этого спама для любого спам-фильтра, работающего в месте назначения, куда вы пересылаете сообщения. Это несколько неизбежно AFAIK.
0
Ответить
флаг cn
Bob
Поэтому, если вы не прекратите пересылать спам-сообщения, ваша репутация не улучшится.Отправка отказов — это то, чего вы хотите избежать, обратное рассеяние — это еще одна проблема, за которую часто несут ответственность экспедиторы (см., Например, https://willem.com/blog/2019-09-10_fighting-backscatter-spam-at-server-level/)
0
Ответить
Рейтинг:0
avatar Server
флаг cm
mailq
  1. Да и нет. Вы должны волноваться; найти истинную причину. Но виновником может быть и не почтовый сервер. Это также может быть мошенническое устройство в сети, которое использует общедоступный IP-адрес. Но поскольку мы не знаем топологию вашей сети, это чистое предположение.
  2. Да, они авторитетны. Чем дольше IP-адрес используется (для радиолюбителей и спама), тем надежнее становится анализ. Большие необычные всплески, как показано, вызывают беспокойство и требуют тщательного изучения причины.
  3. Ни флага (а потом реле), ни сброса. Он должен быть отклонен до принятия почты. Это известно как предварительная фильтрация очереди.
  4. Абсолютно да. Но ваша проблема сейчас в другом. Взлом, спам-бот, взлом аккаунта, релейная атака, вирус, ...
  5. NDN должны быть отправлены обратно исходному отправителю. Но сначала реализуйте 3). Также следите за NDN, чтобы узнать, существуют ли еще ваши адреса переадресации. Некоторые пользователи закрывают свою учетную запись и не сообщают вам, что с этого момента переадресация никогда не будет работать или вместо этого должна быть достигнута другая адресация.
  6. Я этого не понимаю. SPF основан на доменных именах для классификации отправляющего IP-адреса. Или вы имеете в виду DNSRBL? Они также должны быть частью ваших мер по борьбе со спамом 3).
  7. Да, но для пересылки почты это не особо помогает. Это помогает для исходящих писем с вашей стороны. Но репутация теряется из-за реальной причины вспышки спама.

Так что сначала найдите виновного и устраните его.Затем примените методы защиты от спама, чтобы свести к минимуму принятие спама и, следовательно, его ретрансляцию. Сделайте это, отклонив входящие письма; фильтрация плохая, если только вы не выполняете фильтрацию перед очередью во время диалога SMTP.

После этого спросите себя, подходит ли ретрансляция почты. Все почтовые клиенты могут работать с несколькими учетными записями, поэтому размещайте почту самостоятельно.

0 + 0
флаг au
Jimmy Chi Kin Chau
спасибо @mailq, так что 1, я пытаюсь найти способ зарегистрировать любую попытку подключения к внешнему порту 25, я хочу знать, есть ли какие-либо другие процессы, кроме постфикса, который «отправляет» исходящую электронную почту. это не общий сервер, мы являемся единственным пользователем этого IP 2. причина, по которой я сомневаюсь в его надежности, заключается в том, что сервер в значительной степени отправляет электронную почту каждый день, но в дни они регистрируют 0 томов. 8. школа пользуется хорошей репутацией, мы предлагаем членам адрес электронной почты с престижным доменным именем в качестве услуги, мы не готовы управлять почтовыми ящиками, поэтому алиас-форвардер кажется единственной услугой, которую мы можем предоставить.
0
Ответить
флаг au
Jimmy Chi Kin Chau
еще раз спасибо @mailq, воспользуюсь вашим советом и настрою сервер дальше
0
Ответить
флаг au
Jimmy Chi Kin Chau
для 3. spamassassin milter с тех пор реализован уже неделю
0
Ответить
флаг cm
mailq
Для меня "надежный" не значит "точный".Они не могут быть точными, так как они лишь косвенно отслеживают почтовый трафик. Только ваш следующий сетевой переход может быть точным по числам (если они будут измеряться). Для логарифмической шкалы на картинке: я знаю аналогичный проект с таким же масштабом, и крупнейший в мире отправитель Google занимает 7 место (на IP-адрес).
0
Ответить
флаг au
Jimmy Chi Kin Chau
Да, я понимаю, что они должны использовать выборку. Однако для меня это также означает, что я ожидаю, что может быть 10-кратная разница (предположим, что она может быть отключена журналом 1) в оценке объема, чтобы увидеть, действительно ли мой IP-адрес рассылает спам, а также, похоже, нет особых указаний на то, как уровень спама рассчитывается и как он связан с объемом электронной почты, о котором я не уверен, как судить о его достоверности. Возможно, мне придется относиться к вещам при прочих равных условиях и просто следить за изменениями тренда.
1
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.