Рейтинг:0

spamhaus.org блокирует наш IP-адрес, потому что мы используем несколько несвязанных значений HELO

флаг jp

spamhaus.org блокирует наш IP-адрес, потому что мы отправляем почту, используя несколько доменных имен с одного IP-адреса.

Сообщение

Устройство (компьютер, сервер, мобильный телефон и т. д.) или приложение на устройстве, использующем aaa.bbb.ccc.ddd, заражено, неправильно настроено или скомпрометировано. Он устанавливает SMTP-соединения с несколькими несвязанными значениями HELO на порту 25.

Последнее обнаружение: 18 мая 2022 г., 10:20:00 UTC (+/- 5 минут). Наблюдаемые значения HELO были xxx yyy zzz ,...

У нас есть много разных доменов для электронной почты (один клиент = один домен), и все электронные письма отправляются с одного и того же IP-адреса (несколько разных серверов, использующих один и тот же интернет-шлюз).

Как мы должны обрабатывать этот вариант использования? В настоящее время мы используем exim4 в качестве почтового сервера на множественных серверах.

Nikita Kipriyanov avatar
флаг za
Нет, это не так. Существует *мириады* почтовых систем, которые обслуживают несколько доменов. Spamhaus никогда никого не блокировал просто так. Как *точно* выглядит ваше сообщение/причина блокировки Spamhaus?
флаг vn
Если бы только это было причиной Spamhaus, каждый крупный поставщик услуг электронной почты был бы немедленно заблокирован. Имеют ли эти домены действительные записи SPF, позволяющие вашему IP-адресу отправлять электронные письма от их имени?
Jean avatar
флаг jp
Я добавил блокирующее сообщение Spamhaus. Да, эти домены имеют действительные записи SPF.
A.B avatar
флаг cl
A.B
Просто напишите, что тег `spam-marked` включает в себя два канонических вопроса и ответа в своем полном описании: https://serverfault.com/tags/spam-marked/info, которые могут уже включать некоторые проверки.
флаг vn
Смотрите [эту страницу Spamhaus] (https://www.spamhaus.org/faq/section/Hacked...%20Here%27s%20help).
tripleee avatar
флаг ar
Отвечает ли это на ваш вопрос? [Как отправлять электронные письма и избегать их классификации как спама?](https://serverfault.com/questions/48428/how-to-send-emails-and-avoid-them-being-classified-as-spam)
Jean avatar
флаг jp
Здравствуйте, я принял ответ Никиты Киприянова, потому что у меня была именно такая проблема. Канонический вопрос, который вы связали, показывает несколько возможностей, одна из которых - это решение, которое я искал. Я думаю, что будущим пользователям будет легче прочитать этот ответ, используя конкретное описание моего варианта использования.
Рейтинг:5
флаг za

Вы настроили его для представления разных имен HELO для каждого обслуживаемого домена? Это действительно плохая идея. Вот почему Spamhaus зол на вас.

  • Ваш сервер должен иметь определенное полное доменное имя, по крайней мере, для почтовой службы, скажем mail.example.org;
  • настроить это полное доменное имя как единственное постоянное имя HELO, которое всегда представляется MTA, независимо от того, почту какого домена он доставляет сейчас;
  • это имя должно иметь записи A или AAAA, которые разрешаются в IP-адрес сервера, например, mail.example.org. А 192.0.2.1;
  • сервер использует этот или какой-либо другой IP-адрес при исходящих соединениях. Обратный поиск исходящего IP-адреса в DNS должен указывать на это же полное доменное имя, например: 1.2.0.192.in-addr.arpa. PTR mail.example.org.;
  • в идеале включите STARTTLS и используйте SSL-сертификат, действительный для этого полного доменного имени, например CN=mail.example.org или поле SAN содержит DNS: mail.example.org или же DNS: *.example.org.

Затем вы указываете это полное доменное имя в записи MX обслуживаемых доменов, например: пример.com. МХ 10 mail.example.org. (не забудьте также настроить записи SPF, DKIM, DMARC).

Заметит вас не можем иметь несколько записей PTR для одного IP-адреса; технически вы можете, но это не сработает, как вы могли ожидать. Некоторые DNS-серверы проверяют эти три элемента (HELO, прямой DNS-запрос для имени HELO и обратный DNS-запрос для вашего IP-адреса), чтобы сопоставить и заблокировать сообщения, если они этого не делают. Это частично объясняет, почему вы не должны менять имя HELO для каждого сообщения.

(Это по сути то же самое, что и этот ответ в связанном "Каноническом вопросе")

Jean avatar
флаг jp
Спасибо, мы исправили это, установив одно и то же полное доменное имя HELO на наших серверах Multiples. Полное доменное имя теперь соответствует DNS для этого сервера. (связанный FAQ: «Правильное выравнивание HELO/DNS/rDNS для домена example.com:») В то же время Spamhaus удалил наш IP из списка заблокированных. Я подожду до завтра и приму этот ответ. Еще раз спасибо.
флаг jp
Отличный ответ! Небольшое замечание: я думаю, что в наши дни всегда должен быть SAN, соответствующий CN.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.