如何阻止所有與電子郵件相關的流量
我最近從其提供商那裡收到關於我的一台伺服器發送垃圾郵件的警告。
由於我不使用伺服器發送電子郵件,我刪除了 postfix/sendmail,從我的域中刪除了 MX 記錄,限制了 SPF 記錄,阻止了埠 25 和 567 上的傳出流量,並從我的伺服器中刪除了所有不必要的軟體。但是問題仍然存在,我仍然收到來自 spamhaus 和 abuseat 的警告,報告說在過去 24 小時內有超過 10 封垃圾郵件。
我還檢查了電子郵件日誌,他們沒有任何外發電子郵件日誌,所以我認為 postfix/sendmail 不是問題。
問題是是否有任何其他方法可以在不使用 SMTP 中繼並且埠被防火牆阻止的情況下發送電子郵件,接下來我應該看哪裡?
伺服器上執行的第三方軟體:Nginx(用於重定向或代理)、Ocserv、Gitea、Taiga、Teamspeak
首先 SMTP 通常在埠 25(您已阻止)和 587 用於 SMTP 送出(您的問題提到埠567沒有用),也可能是埠 465(SMTPS),所以這些是要阻止的埠,雖然 465 , 587 通常會期望/需要身份驗證,因此它們將是發送垃圾郵件的不尋常路由。
請檢查電子郵件是否真的是從您正在調查的伺服器/IP 地址發送的,並檢查您是否確實阻止了這些埠(尤其是 25) - 嘗試從伺服器遠端登錄到已知遠端的埠 25郵件伺服器 - 如果埠仍然打開,您應該會收到提示,在這種情況下,埠不會被阻止(以 gmail 伺服器為例),
$ telnet alt1.gmail-smtp-in.l.google.com 25 Trying 2a00:1450:4010:c03::1b... Connected to alt1.gmail-smtp-in.l.google.com. Escape character is '^]'. 220 mx.google.com ESMTP c14si24561520lji.153 - gsmtp quit 221 2.0.0 closing connection c14si24561520lji.153 - gsmtp Connection closed by foreign host. $
也許你在那裡得到(不)幸運。如果以上內容不能解釋這裡發生的事情還有一些想法,
是否有人欺騙了您的域(來自他們控制的不同伺服器)?
您的伺服器能否通過您自己組織內的另一台機器進行中繼(通過埠 25、465 或 587)?初始 IP 將成為違規機器,即使電子郵件從這台其他機器退出您的組織。
請注意,一台機器不需要安裝郵件伺服器就可以發送電子郵件:它可以通過相當於遠端系統上埠 25 的 telnet 會話來完成這一切——因此郵件伺服器日誌通常不會顯示濫案例如,伺服器端腳本可能已被添加或破壞的 Web 伺服器。
您提到您已經添加了一條 SPF 記錄,這是一個好主意,可以指定哪些機器應該為您的域發送電子郵件;您可能還想考慮添加 DKIM 和 DMARC 來增加該度量,儘管它們的設置比 SPF 更複雜。
(由以下 Pooya 的評論提示)如果您使用任何 VPN,還要考慮 VPN 是否可能為流量離開伺服器提供後門。