需要幫助確定垃圾郵件的來源

作為快速背景，我們有垃圾郵件與我們的域名一起發送。因此，我們已將 SPF 記錄添加到我們的域 DNS 中，現在顯然這將有助於確保不會發送此垃圾郵件，但問題是該垃圾郵件是否真的來自我們的伺服器。我們收到了來自主機提供商的濫用報告，其中包含以下標題

Received: from mx.poczta.onet.pl (unresolved [10.174.34.83]:53105)
   by ps15.m5r2.onet (Ota) with LMTP id 6B66CFF656749
   for <x>; Fri, 10 Mar 2017 23:36:17 +0100 (CET)
Received: from www.mydomain.com (unknown [xxx.xxx.xxx.xxx])
   by mx.poczta.onet.pl (Onet) with ESMTP id 3vg2DJ4tX1z92
   for <x>; Fri, 10 Mar 2017 23:36:16 +0100 (CET)
Date: Fri, 10 Mar 2017 17:36:15 -0500
To: x
From: Bethany <bethany@mydomain.com>
Subject: [SPAM] Do you want to give your man a strong...?
Message-ID: <8399________________________58f3@www.mydomain.com>
X-Priority: 3
MIME-Version: 1.0
Content-Type: multipart/alternative;
   boundary="b1_8399a58bdbb7157cb3aeb3dc3e3f58f3"
Content-Transfer-Encoding: 8bit
X-ONET_PL-MDA-SEGREGATION: 0
X-ONET_PL-MDA-Version: 1.0.25
X-ONET_PL-MDA-Info: 015 35161 6B66CFF656749 1.000000
X-ONET_PL-MDA-From: bethany@mydomain.com
X-ONET_PL-MDA-Spam: YES

注意：我已經用“mydomain.com”為我的域和我的伺服器的實際 IP 用 xxx.xxx.xxx.xxx 配音了所有的地方。據我所知，所有其他未經審查的資訊與我無關。

我對 SMTP 標頭的理解是，只有頂行“已收到”是真實的，而下面的任何“已收到”都是偽造的。如果是這種情況，這是否意味著垃圾郵件實際上來自垃圾郵件發送者@“10.174.34.83”而不是我自己的 IP xxx.xxx.xxx.xxx？

還可能值得注意的是 Bethany@mydomain.com 也不是有效的電子郵件並且不存在。我們使用 GSuite 處理我們的電子郵件。

請不要混淆您的伺服器的身份。無法檢查 DNS 配置來幫助您。

您認為所有收到的都是偽造的，這是錯誤的。然而，他們可能是。鑑於您提供的標頭，如果第二個標頭上的 IP 正確且該 IP 未通過 rDNS 驗證，則它很可能來自您的網路。我假設 IP 不是來自您的郵件伺服器，因為它的 IP 地址應該已經通過 rDNS 驗證。

你可以做幾件事：

• 查找在第二個標頭中使用 IP 地址的伺服器上執行的意外軟體。
• 阻止除您的郵件伺服器之外的所有伺服器的埠 25 上的所有 Internet 流量。
• 調查DMARC您的域的實施。這應該可以讓您快速了解您是否真的在發送垃圾郵件以及垃圾郵件的來源 IP 地址。
• 在您的郵件伺服器上，阻止埠 25 上的所有傳出流量，而不是您的郵件伺服器執行的使用者 ID。
• 確保您的 SPF 策略結束-all，並且僅列出您的外發郵件伺服器。
• 將 SPF 記錄添加到指定策略的所有非郵件源域（例如 www）-all。
• 將 SPF 記錄添加到您的郵件伺服器域，指定策略A -all
• 確保您的郵件伺服器不會轉發來自 Internet 的郵件，除非使用者已通過身份驗證。這只應在送出埠 (587) 上允許。對於給定的標頭，除非您在發送郵件時刪除收到的標頭，否則情況不應如此。
• 制定和實施電子郵件政策，例如我的。

引用自：https://serverfault.com/questions/845182