我們的 IP 被 Spamhaus 列出 - 我們如何防止這種情況再次發生?
我是一個小鎮公共圖書館的技術助理,我們在那裡經營自己的電子郵件。如果重要的話,它是 Ubuntu 18.04 機器上的 Postfix。網關/防火牆是一個 16.04 版本的機器,通過在啟動時執行的腳本設置埠轉發,發出一長串 iptables 命令。
今天,我們的 IP 地址進入了兩個 Spamhaus 阻止列表,首先是 SBL,然後是 XBL。上週,在我們收到外發郵件退回後,我看到我們在 SBL 名單上。我經歷了刪除它的過程,它被刪除了。但是今天下午問題又來了,Spamhaus 的網路伺服器假裝接受了我刪除 IP 的請求,但它仍然在列表中,經過幾次執行後,它也出現在 XBL 上。
我打電話給我們的網際網路提供商,他們的網路工程師完成了刪除步驟,實際上已經將其刪除。(或者也許我的第一個請求需要很長時間才能處理。)
我應該從這裡去哪裡?我只是一個新手系統管理員,我不知道可以填滿一個……圖書館。為了防止這種情況再次發生,我需要找出是什麼(如果有的話)在發送垃圾郵件。我已經在外部 NIC 上嘗試了 tcpdump 用於網關監視埠 25,但在我查看期間(對我來說)我沒有看到任何可疑的東西(事實上,不久之後我就開始做其他事情了, 我承認)。但我什至不知道發生了什麼,又發生了什麼,而且我的想法太過分了。我在網關上安裝了 Wireshark,但很快就將其刪除,因為它似乎需要圖形桌面才能使用。我查看了 /var/log/mail.log,但沒有看到任何看起來像批量郵件發出的東西(但那會是什麼樣子?)。
我在
sudo tcpdump -i enp3s0 port 25 | tee feb26-27-overnight.log
通宵執行(在網關上,監視面向外部的 NIC),希望能找到一些值得關注的東西。但是,如果有一種直接的方法可以找出正在發生的事情,而無需進行網路取證調查就可以向人們發送電子郵件,那就太好了。
到目前為止,我所做的是為 SPF、DKIM 和最後 DMARC 進行所有設置。實現細節會因網路和平台而異,所以我不會對我所做的一切一一一一介紹。但做完這一切似乎大大提高了我郵件的接受度。
SPF:非常容易實現的目標。您所要做的就是設置一個 DNS 記錄,說明允許誰為您發送郵件,並且有很多資源可以幫助您編寫它,例如SPF 嚮導。
DKIM:相對複雜。您必須處理密鑰和一堆其他伺服器端的東西,然後設置相應的 DNS 記錄。我在 LinuxBabe 上遵循了 Ubuntu 的這些說明(使用 Postfix 和 Dovecot)。這允許檢查電子郵件的真實性,發件人不只是欺騙來源以假裝來自您。
DMARC:簡單,但您需要先設置至少一個 SPF 和 DKIM。與 SPF 類似,您只是製作了一條 DNS 記錄,告訴第三方如果您的郵件未通過 SPF 和/或 DKIM,該怎麼處理。一般的智慧是從“p:none”開始並閱讀報告一段時間,直到您對所有外發郵件(可能來自多個來源 - 例如,我們也使用 Sendgrid)感到滿意為止。(例如,您可以從 Gmail 獲取每日摘要。)然後您可以將您的推薦提高到“p:quarantine”或“p:reject”。這裡有一些基本資訊。
哦,還有一個快速注意事項:不要使用虛擬域別名或任何它們被稱為轉發目的的名稱。它們不僅使用起來很尷尬(我必須為使用者可能擁有的每個別名都拼出它們,儘管可能有另一種方式),而且我認為它們在通過任何你自己的垃圾郵件之前轉發消息-過濾規則。在將我們員工的一封電子郵件轉發到他們的 Hotmail 帳戶後,我們幾乎立即被 Outlook 阻止。相反,由於在我們的設置伺服器使用者 = 郵件使用者中,我們可以在使用者的主目錄中設置一個 .forward 文件,其內容如下
externalaccount@externalsite.com, \localusername
:這要優雅得多,並且只有在消息實際到達郵箱後才會生效。
Where should I go from here?
我並不是要油嘴滑舌或不屑一顧,但您應該將您的電子郵件轉移到專業託管服務。Office 365. G Suite。任何。您的組織沒有充分的理由應該在 2020 年在內部託管您的電子郵件。您無法提供這些服務可以提供的可用性、可擴展性和可靠性水平……更不用說您目前的電子郵件聲譽問題,您不會的沒有這些服務。
我能想到的讓您自己繼續這樣做的唯一正當理由是預算問題或法律問題,它們會阻止您將電子郵件“移出家門”。