2012-07-27 32 views
9

Da quando è stato rilasciato, ho utilizzato Google Apps FYD per stackednotion.com. Tutte le email inviate passano attraverso i server di Google e utilizzo Gmail per visualizzare la mia email. Non ho avuto alcun problema prima, tuttavia recentemente ho visto strani bounceback finire nel conto catch all. Sembra che qualcuno stia utilizzando il mio dominio per inviare spam. Non voglio davvero che il mio dominio venga contrassegnato con una cattiva reputazione, quindi come posso fermarlo?Lo spam viene inviato utilizzando il mio dominio, cosa posso fare?

Ho installato SPF, DMARC e DKIM sul dominio seguendo le guide su Google Apps, ecco il mio file di zona:

; stackednotion.com [9548] 
$TTL 86400 
@ IN SOA ns1.linode.com. luca.stackednotion.com. 2012072633 7200 7200 1209600 86400 
@  NS ns1.linode.com. 
@  NS ns2.linode.com. 
@  NS ns3.linode.com. 
@  NS ns4.linode.com. 
@  NS ns5.linode.com. 
@   MX 1 ASPMX.L.GOOGLE.COM. 
@   MX 5 ALT1.ASPMX.L.GOOGLE.COM. 
@   MX 5 ALT2.ASPMX.L.GOOGLE.COM. 
@   MX 10 ASPMX2.GOOGLEMAIL.COM. 
@   MX 10 ASPMX3.GOOGLEMAIL.COM. 
@   MX 30 ASPMX4.GOOGLEMAIL.COM. 
@   MX 30 ASPMX5.GOOGLEMAIL.COM. 
@   TXT "v=spf1 include:_spf.google.com ~all" 
google._domainkey   TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDi19ipSdqDEpnJEWrVF7MarSLnlzXi0wPOHws2BY6oMQInbY5OHzdw9LcFr1biVvipErm4odyJfjZAIp5s8r6z50ZxQdW5Uwdy9krA1A9HMPaqVN+fm2xpntU//uXn0wD8sGc9CljYQIl+MusxQ690PfVGnAz/QeLqaZFxpHHmmQIDAQAB" 
_dmarc   TXT "v=DMARC1; p=quarantine; rua=mailto:[email protected]" 
@   A 178.79.164.64 
*   A 178.79.164.64 
_xmpp-server._tcp  SRV 5 0 5269 xmpp-server.l.google.com. 
_xmpp-server._tcp  SRV 20 0 5269 alt1.xmpp-server.l.google.com. 

Anche qui ci sono le intestazioni di un messaggio di spam (qualcuno ha cercato di Spazio abbonati me ad una mailing list di Zend, che tipo di persone malate sono essi):?!?

Return-Path: <[email protected]> 
Received: (qmail 20117 invoked from network); 27 Jul 2012 06:51:01 -0000 
Received: from exprod7mx200.postini.com (HELO psmtp.com) (64.18.2.92) 
    by rsmx2.zend.com with SMTP; 27 Jul 2012 06:51:01 -0000 
Received: from source ([188.51.41.223]) by exprod7mx200.postini.com ([64.18.6.13]) with SMTP; 
     Fri, 27 Jul 2012 02:51:00 EDT 
To: <[email protected]> 
Subject: Invoice #48469883494 
From: "Order" <[email protected]> 
Date: Sat, 28 Jul 2012 09:40:03 +0300 
X-Priority: 3 
X-MSMail-Priority: Normal 
X-Mailer: IPS PHP Mailer 
MIME-Version: 1.0 
Content-type: text/plain; charset="iso-8859-1" 
Content-Transfer-Encoding: 8bit 
Message-ID: <[email protected]> 
X-pstn-neptune: 500/484/0.97/100 
X-pstn-levels:  (S: 0.00346/89.11253 CV:99.9000 FC:95.5390 LC:95.5390 R:95.9108 P:95.9108 M:97.0282 C:98.6951) 
X-pstn-dkim: 0 skipp 
+0

Dovresti lavorare più a fondo su come l'invio di email funziona. Scoprirai che non puoi impedire alle persone di usare semplicemente i tuoi indirizzi quando lo sanno. Semplicemente non ci sono mezzi per questo. In caso contrario, i relè riceventi possono provare a filtrarli. – arkascha

+0

Ho anche avuto un problema simile di recente e non sono ancora stato in grado di trovare alcuna soluzione ... –

+0

I record SPF corretti aiutano quando il destinatario rifiuta l'errore SPF, ma dipende da loro. Molti no. Alcuni identificheranno inspiegabilmente "buon SPF" con "buona email" che ovviamente non è il caso (uno spammer potrebbe banalmente configurare SPF per se stesso) ma "SPF cattivo" è praticamente garantito come "cattiva email". – tripleee

risposta

2

ho notato un aumento di questo tipo di spoofing nelle ultime settimane pure.

Le Google support page on this issue note:

"Poiché questi messaggi provengono al di fuori di Gmail, non siamo in grado di fermare gli spammer di falsificare l'indirizzo Tuttavia, Google aiuta a proteggere la reputazione del tuo indirizzo Gmail progettando i nostri sistemi a. autentica tutta la posta che proviene realmente da te. Quando un altro dominio riceve un messaggio non autenticato da Gmail, può dire che non hai realmente inviato la posta, ed è improbabile che il tuo indirizzo email sia bloccato. sono preoccupati dello spoofing e dei bounceback. Ti chiediamo di segnalare questi messaggi selezionando la casella accanto al messaggio indesiderato e facendo clic su Segnala spam nella parte superiore della Posta in arrivo oppure aprendo il messaggio e facendo clic su Segnala spam nella parte superiore del messaggio. "

"Puoi aiutare a fermare gli spammer inviando anche le intestazioni complete di questi messaggi illegali alla Federal Trade Commission all'indirizzo [email protected]"

1

Afaik, si presume che DMARC ti aiuterà a raggiungere questo obiettivo. Secondo il Google Apps Article about DMARC, si dovrebbe iniziare con un "ciclo di distribuzione conservatrice", come:

Monitor all. 
Quarantine 1%. 
Quarantine 5%. 
Quarantine 10%. 
Quarantine 25%. 
Quarantine 50%. 
Quarantine all. 
Reject 1%. 
Reject 5%. 
Reject 10%. 
Reject 25%. 
Reject 50%. 
Reject all. 

Quindi, il mio suggerimento sarebbe fermare quaranting email, monitorare per un po 'e poi inizia a salire.

10

Allo stato attuale, il modo per ridurre la capacità di miscredenti a send spam purportedly from your domain è informare gli altri server di posta quali server sono autorizzati a inviare posta per conto dei propri domini. Il meccanismo è SPF e hai già un record SPF:

TXT "v=spf1 include:_spf.google.com ~all" 

Se bloccando i tentativi di contraffazione è il vostro desiderio, questo può essere migliorato. Leggi lo SPF Record Syntax page che descrive quale dovrebbe essere la tua politica SPF. Se si dispone di altri server di posta di invio di posta a nome del suo dominio, aggiungerli al record SPF e cambiare la vostra politica a fallire:

TXT "v=spf1 include:_spf.google.com -all" 

Perché SPF è così ampiamente distribuito, questo farà la differenza. Ma SPF ha casi limite (in avanti, liste di e-mail, ecc.) In cui la politica SPF fallisce, quindi la maggior parte dei siti sceglie di essere più liberale con la politica SPF di quanto richiesto. Ad esempio, se la politica è impostata per rifiutare e il messaggio sembra provenire da un elenco di e-mail, la maggior parte dei server lo riconoscono in qualche modo (lo Authentication-Results header è definito per questo scopo) e gli consente di passare..

È qui che viene in DMARC è già stato aggiunto un record DMARC:

_dmarc TXT "v=DMARC1; p=quarantine; rua=mailto:[email protected]" 

La vostra politica è solo quello di mettere in quarantena i messaggi in mancanza di DMARC. Se i rapporti DMARC non indicano alcun messaggio valido bloccato e/o se sei disposto a convivere con alcuni casi limite in cui i messaggi validi vengono rifiutati, puoi migliorarlo con p = rifiuta.

Non sorprendentemente, ottenere rimbalzi da server di posta elettronica per spam che si presume provengano da uno dei miei domini è esattamente ciò che mi ha spinto a iniziare DKIM firmando i miei messaggi, in modo da poter distribuire DMARC. DMARC è un meccanismo di policy che combina SPF e DKIM, in modo che i proprietari di domini possano asserire ad altri server di posta che, "Se non proviene da questo elenco di IP (SPF) e non è firmato da DKIM, allora [reject | quarantine | allow] it ".

DMARC funziona brillantemente. Invece di ricevere messaggi di rimbalzo, ora ricevo rapporti DMARC. Io uso Mail::DMARC per analizzare i report e inserire i riepiloghi in un database.

DMARC è ancora un progetto IETF e non è ampiamente implementato. Tuttavia, la maggior parte dei grandi provider di posta elettronica l'hanno implementata e la copertura è sorprendentemente buona. Dopo aver distribuito DMARC per il mio dominio, ho scritto un plug-in DMARC per Qpsmtpd, in modo da poter convalidare i messaggi in arrivo sulla politica DMARC. Ho pubblicato alcuni dei miei risultati come operatore DMARC in un DMARC FAQ.

Ho menzionato casi di margine in precedenza, quindi mi sento in dovere di condividerne uno.

Google gestisce i messaggi disallineati (quelli che non superano l'allineamento SPF e DKIM) facendoli cadere nella cartella Spam dell'utente. Ho acquisito familiarità con questo perché le e-mail inviate dal mio dominio sono generalmente trattate bene da Gmail. L'eccezione è per i messaggi inoltrati attraverso alcune liste di email come [email protected] I messaggi che ho inviato a quell'elenco vengono modificati dal software di elaborazione elenchi, invalidando la mia firma DKIM. Quando il messaggio viene inoltrato ai destinatari di Gmail, tali messaggi sono contrassegnati come spam perché a) Ho pubblicato una politica DMARC rifiutata, e b) che l'elenco email non è un mittente di posta SPF valido da tnpi.net, e c) il La firma DKIM con il mio dominio non riesce a convalidare.

Esistono soluzioni alternative, oltre a correggere il software di elenco, ad esempio l'aggiunta del server di mailing list offendente al mio record SPF. Alcune implementazioni DMARC rileveranno i messaggi dalle mailing list e ridurranno la severità delle policy (ovvero, Google mette in quarantena i miei messaggi di lista anziché rifiutarli).

Al momento, non esiste un modo migliore per inibire i tentativi di phishing e spoofing che utilizzano il dominio rispetto a una politica DMARC ben implementata.

+1

Amico, quella risposta fa un salto! –

0

Potrebbe esserci la possibilità che i tuoi messaggi di posta elettronica vengano ripresi. Quindi se stai ricevendo mail sullo stesso account da cui invii. Prova a cambiare l'autorizzazione dell'amministratore del controllo di dominio nel tuo database.