Jak zatrzymać rozproszenie wstecznego spamu powodujące, że e-maile w mojej domenie są bezużyteczne?

11

Niektóre złośliwe osoby używają nieistniejących kont w mojej domenie jako fałszywego nadawcy wiadomości e-mail zawierających spam (tj. [email protected] ).

Wszystkie e-maile o nieobecności i odrzuceniu spamu wracają do mnie (ponieważ moja domena jest skonfigurowana do przekazywania mi wszystkiego, co dotyczy mojej nazwy domeny).

Adres e-mail w domenie jest skonfigurowany tak, aby przekierowywał do Gmaila, który robi godną podziwu robotę w radzeniu sobie z potopem (co najmniej 50 tys. E-maili tygodniowo), ale nadal wiele nie filtruje.

Powoduje to, że nie mam już adresu e-mail dla tego konta przychodzącego na mój iPhone, ponieważ jest nieprzerwany.

Co mogę zrobić, aby odzyskać normalność? Nie przychodzi mi do głowy cała wiadomość e-mail z domeny, co przychodzi mi na myśl (tzn. Jeśli konto nie istnieje, zignoruj ​​je).

Czy ktoś jeszcze dostał dodatkowe porady?

Edycja: Nagle przyszło mi do głowy - czy lepiej zapytać o ServerFault?

Rob Cowell
źródło
Tak, poczekaj na przeniesienie go do ServerFault zamiast repost.
djhowell
Uff! Na szczęście nie przesłałem jeszcze formularza na SF! :-D
Rob Cowell

Odpowiedzi:

12

Prosta odpowiedź: nie posiadaj catch-all w swojej domenie.

W rzeczywistości nie akceptuj poczty na serwerze dla kont, które nie istnieją, kropka. Po prostu odrzuć to wprost podczas pierwszej transakcji SMTP. Jest to szczególnie ważne, gdy masz front-endowy serwer „proxy” SMTP, który robi takie rzeczy jak antywirus, antyspam itp., Zanim przekaże czyste (er) e-maile do „wewnętrznego” serwera SMTP, który wie, co użytkownicy mają skrzynki pocztowe ( np. MS Exchange). Zewnętrzne serwery proxy są często skonfigurowane do akceptowania poczty e-mail dla całej domeny, nie wiedząc, którzy użytkownicy istnieją, więc akceptują pocztę do dowolnej osoby w domenie. Tylko wtedy, gdy zdadzą sobie sprawę, że użytkownik nie istnieje, wygenerują raport NDR. Często może to być powrót na nieprawidłowy adres lub do innej niewinnej ofiary.

Będziesz także czerpać korzyści z tego, że nie wysyłasz raportów NDR dotyczących spamu na nieprawidłowe adresy w domenie, które odrzuca Twój „wewnętrzny” serwer. Widziałem, że dostawcy usług internetowych mylą te raporty NDR z nadużyciami spamu wychodzącego .

tomfanning
źródło
4
+1. btw, nie obwiniam dostawców usług internetowych za postrzeganie tych raportów NDR jako spamu - spam IS z rozproszeniem wstecznym, powoduje te same problemy z ładowaniem co spam bezpośredni. jest to również dowód na niekompetentnie działający serwer pocztowy, który zasługuje na zablokowanie.
cas
Podejrzewałem sprawę. Dziękujemy za potwierdzenie i dodatkowe informacje
Rob Cowell,
6
  1. Nie rób * @ mojadomena -> coś. To przepis na to, czego doświadczasz.
  2. Upewnij się, że Twój serwer pocztowy wie, którzy użytkownicy istnieją, i odrzuca pocztę (w czasie SMTP, nie później!) Dla użytkowników, którzy nie istnieją.

Rozważ też użycie czegoś takiego (sformatowany postfiks) smtpd_recipient_restriction

<>          reject_rbl_client ips.backscatterer.org
postmaster  reject_rbl_client ips.backscatterer.org
Bill Weiss
źródło
+1 adresy catch-all to naprawdę zły pomysł. są mnożnikiem spamu i rozproszenia wstecznego. dostajesz śmieci za każdą losową część @ twojadomena, z której korzystają spamerzy.
cas
4

Na poprzednich plakatach radzę, aby odrzucać wiadomości e-mail na poziomie SMTP, które nie są znanymi użytkownikami: spamerzy mogą z nich skorzystać, aby sprawdzić, czy adres e-mail w Twojej domenie jest prawidłowy.

Oczywiście są alternatywy

  • zaakceptuj email (zły),
  • po cichu upuść (źle, jeśli jest to legalna poczta z literówką w adresie)

więc jest to typowa sytuacja „przeklęty, jeśli to zrobisz, przeklęty, jeśli nie”, która pojawia się wszędzie tam, gdzie jest zaangażowany e-mail ...


źródło
0

Prawidłowe rozwiązanie do zatrzymania rozproszenia wstecznego bez umożliwienia zbierania wiadomości e-mail polega na odrzuceniu wiadomości e-mail dla nieistniejących użytkowników, ale także użyciu fail2ban do blokowania ataków polegających na pobieraniu katalogów. Więc po kilku pierwszych z rzędu ip zostanie zablokowany.

To najlepsze z obu światów. Odrzucenie podczas SMTP zapobiega rozproszeniu wstecznemu. Dzięki wykorzystaniu fail2ban do zapory ogniowej z niewłaściwie zachowujących się maszyn atak na katalogi zostaje zatrzymany. I odrzucając literówkę z błędami, osoba zdaje sobie sprawę, że coś poszło nie tak.

Głaskanie pod brodę
źródło
1
Takie blokowanie może prowadzić do fałszywych trafień. Musisz upewnić się, że blokowanie jest zawsze wykonywane przy użyciu kodów błędów wskazujących błąd przejściowy. Musisz upewnić się, że ma bardzo wyraźny komunikat o błędzie wskazujący, dlaczego transakcja została zablokowana. I nie powinieneś pozwolić blokowi utrzymywać się dłużej niż kilka minut na raz.
kasperd