înregistrare Logare
Puncte:0
avatar Server

verificați ce procese se conectează la portul extern

drapel au
Jimmy Chi Kin Chau

Rulez un server de e-mail pentru o asociere școlară și oferim un serviciu de redirecționare a e-mailului pentru studenții absolvenți, oferindu-le un alias de e-mail în numele nostru de domeniu, cum ar fi [email protected], și trimitem e-mailul la adresa personală desemnată de ei înregistrată la noi. .

Am făcut recent upgrade de la un server de e-mail foarte vechi pe care versiunea TLS mai nouă nu mai este acceptată și am mutat la un postfix ubuntu20 + spamassassin + perl spf check config. După configurare, am constatat că IP-ul are o reputație proastă pentru trimiterea de e-mailuri spam. Am verificat din nou postfix-ul main.cf și postfix-ul nu ar trebui să funcționeze ca releu deschis.

smtpd_sender_restrictions =
    permit_mynetworks,
    permis_sasl_authenticated,
    reject_non_fqdn_sender,
    reject_unknown_sender_domain
smtpd_relay_restrictions =
    permit_mynetworks,
    permis_sasl_authenticated,
    defer_unauth_destination

Căutarea volumului de e-mail a fost puțin îngrijorătoare, deoarece un site web pare să înregistreze IP-ul meu trimițând 1 din 30 de milioane de e-mailuri în lume în unele zile

https://talosintelligence.com/reputation_center/lookup

istoricul e-mailurilor reputația de e-mail

desigur, nu cred că mi-au defectat serverul pentru a mă verifica, așa că nu știu de unde provin datele lor

Mă gândesc să verific dacă există vreun alt program care ar putea trimite e-mail pe serverul meu

Am configurat ufw pentru a permite portul de destinație 25 cu login

starea #sudo ufw
La Acțiune De la
-- ------ ----
25 PERMITERE Oriunde (jurnal)

Văd aproximativ 6000 de intrări în ultimele 60 de ore în ufw.log de către grep „DPT=25”, ceea ce mi se pare rezonabil, având în vedere că avem membri la ordinul de 1000.

verificat și mail.log, numărul de linii de livrare (250 ok, 550*, 454*) se adaugă la aproximativ 3000 de linii.

Și, de asemenea, am văzut de multe ori Postfix încercarea de a livra o notificare de non-livrare, dar conexiunea este fie expirată, fie respinsă. De atunci, am mărit timpul minim și maxim de retragere și am redus durata de viață a cozii pentru a încerca să reduc volumul de reîncercări ale unor e-mailuri spam pe care le primim la aliasuri.

De asemenea, primesc bounce de la gmail și de la un alt server smtp

status=bounced (gazdă gmail-smtp-in.l.google.com[74.125.130.26] a spus: 550-5.7.26 Acest mesaj nu are informații de autentificare sau nu reușește 550-5.7.26 să treacă verificările de autentificare. Pentru a proteja cel mai bine utilizatorii noștri, mesajul a fost blocat
status=bounced (gazdă gmail-smtp-in.l.google.com[74.125.130.26] a spus: 550-5.7.1 [IP-ul meu] Sistemul nostru a detectat că acest mesaj este 550-5.7.1 probabil e-mail nesolicitat. Pentru reduceți cantitatea de spam trimisă către Gmail, acest mesaj a fost blocat
status=bounced (gazdă gmail-smtp-in.l.google.com[74.125.130.26] a spus: 550-5.7.1 [IP-ul meu] Sistemul nostru a detectat că acest mesaj este 550-5.7.1 probabil suspect din cauza reputație foarte scăzută a adresei IP de trimitere 550-5.7.1 Pentru a ne proteja cel mai bine utilizatorii de spam, mesajul a fost blocat 550-5.7.1.
status=deferred (gazdă imsmx1.netvigator.com[219.76.94.45] a refuzat să vorbească cu mine: 554-wironin01.netvigator.com 554 Respins: e-mailul spam de la IP-ul serverului <IP-ul meu> este blocat de Talos Vă rugăm să accesați „https: //www.talosintelligence.com/reputation_center/lookup?search=IP-ul meu"
status=amânat (conectare la mail.feed-silver.cam[89.144.62.60]:25: Conexiune refuzată)
(notificarea expeditorului de non-livrare) status=bounced (gazdă aspmx.l.google.com[142.251.12.26] a spus: 550-5.1.1 Contul de e-mail la care ați încercat să ajungeți nu există. Vă rugăm să încercați 550-5.1.1 verificarea de două ori adresa de e-mail a destinatarului pentru greșeli de scriere sau 550-5.1.1 spații inutile.
  1. ar trebui să-mi fac griji că orice alte procese trimit e-mail pe serverul meu care îmi distrug reputația de e-mail? de aceea mi-aș dori să pot verifica din jurnalul ufw ce procese au încercat să se conecteze la portul extern 25
  2. sunt fiabile datele despre site-ul de reputație prin e-mail? Adică, nu sunt sigur dacă volumul de e-mail 2+ este ceva îngrijorător, dar netvigator fiind un ISP verifică, îi oferă un nivel rezonabil de credibilitate.
  3. pentru asociația noastră care oferă serviciul de redirecționare a e-mailurilor. Ar trebui să renunțăm la e-mailuri cu scor mare de spam sau pur și simplu să folosim practica implicită a spamassassin pentru a adăuga [SPAM] la subiect și a lăsa destinatarul final să decidă gestionarea? referinţă: https://support.google.com/a/answer/175365?hl=ro
  4. redirecționăm e-mailurile spam de gunoi reputația IP-ului nostru de trimitere?
  5. ar trebui să transmitem notificarea expeditorului de nelivrare înapoi către expeditor? Deși uneori citesc în jurnalul de e-mail, pare să eșueze imediat, bănuiesc că sunt e-mailuri de antet falsificate.
  6. există vreun IP echivalent al SPF cu numele de domeniu? sau este complet imposibil din cauza retransmiterii e-mailului.
  7. Configurarea dkim ajută la reputația IP-ului meu? avem un volum mic de e-mail care este trimis prin propriul nostru domeniu.
100
0 + 0
ufw
drapel cn
Bob
În general, problema cu furnizarea unui serviciu de redirecționare este că, dacă nu faceți o filtrare destul de strictă, veți redirecționa și tot spamul pe care îl primesc oamenii. Și serverul dvs. va fi de cele mai multe ori considerat sursa acelui spam, indiferent de filtrul de spam care rulează la destinația către care redirecționați mesajele. Asta este oarecum inevitabil AFAIK.
0
Răspunde
drapel cn
Bob
Deci, dacă nu încetați să redirecționați mesajele spam, reputația dvs. nu se va îmbunătăți.Trimiterea de respingeri este ceva ce doriți să evitați, backscatter-ul este o altă problemă pentru care expeditorii sunt adesea responsabili (a se vedea, de exemplu, https://willem.com/blog/2019-09-10_fighting-backscatter-spam-at-server-level/)
0
Răspunde
Puncte:0
avatar Server
drapel cm
mailq
  1. Da și nu. Ar trebui să fii îngrijorat; găsi adevărata cauză. Dar vinovatul poate să nu fie serverul de e-mail. Poate fi, de asemenea, un dispozitiv necinstiți în rețea care partajează IP-ul vizibil public. Dar, deoarece nu știm topologia rețelei dvs., aceasta este pură speculație.
  2. Da, sunt reputați. Cu cât IP-ul este utilizat mai mult timp (pentru ham și spam), cu atât analiza devine mai fiabilă. Picurile mari neobișnuite, așa cum se arată, sunt îngrijorătoare și necesită o investigare amănunțită a cauzei.
  3. Nici steag (și apoi ștafetă), nici drop. Trebuie respins înainte de a accepta poșta. Acest lucru este cunoscut sub denumirea de pre-filtrare în coadă.
  4. Cu siguranță, da. Dar problema ta acum este ceva diferit. Hacking, spam-bot, încălcarea contului, atac-releu, virus,...
  5. NDN-urile trebuie trimise înapoi expeditorului inițial. Dar mai întâi implementați 3). De asemenea, monitorizați NDN-urile pentru a vedea dacă adresele dvs. de redirecționare mai există. Unii utilizatori își închid contul și nu vă informează că redirecționarea nu va funcționa niciodată de acolo sau trebuie să ajungă la o altă adresă.
  6. pe acela nu-l înțeleg. SPF se bazează pe nume de domenii pentru a clasifica IP-ul de trimitere. Sau te referi la DNSRBL-uri? De asemenea, ar trebui să facă parte din măsurile dumneavoastră anti-spam de 3).
  7. Da, dar pentru redirecționarea e-mailurilor nu prea ajută. Vă ajută să trimiteți e-mailuri de la capătul dvs. Dar reputația este pierdută de cauza reală a izbucnirii spam-ului.

Așa că mai întâi găsiți vinovatul și eliminați-l.Apoi aplicați tehnici anti-spam pentru a minimiza acceptarea spam-ului și, prin urmare, transmiterea spam-ului. Faceți acest lucru respingând e-mailurile primite; filtrarea este proastă, cu excepția cazului în care faceți filtrarea prealabilă a cozii în timpul dialogului SMTP.

După ce ați făcut asta, întrebați-vă dacă retransmiterea e-mailurilor este calea de urmat. Toți clienții de e-mail pot gestiona mai multe conturi, așa că găzduiți singur e-mailurile.

0 + 0
drapel au
Jimmy Chi Kin Chau
mulțumesc @mailq, deci 1, încerc să găsesc o modalitate de a înregistra orice încercare de conectare la portul extern 25, vreau să știu dacă există alte procese, cu excepția postfix-ului care „trimite” e-mail-uri de ieșire. Nu este un server partajat, suntem singurul utilizator al acelui IP 2. Motivul pentru care pun la îndoială fiabilitatea acestuia este că serverul trimite aproape e-mail în fiecare zi, dar în zilele înregistrează 0 volum. 8. școala este destul de reputată, oferim membrilor o adresă de e-mail cu nume de domeniu de prestigiu ca serviciu, nu suntem pregătiți să gestionăm cutiile poștale, așa că un alias forwarder pare singurul serviciu pe care îl putem oferi.
0
Răspunde
drapel au
Jimmy Chi Kin Chau
vă mulțumesc din nou @mailq, voi lua sfatul dvs. și vom ajusta în continuare serverul
0
Răspunde
drapel au
Jimmy Chi Kin Chau
pentru 3. spamassassin milter a fost implementat deja de o săptămână
0
Răspunde
drapel cm
mailq
Pentru mine „de încredere” nu înseamnă „exact”.Ele nu pot fi exacte, deoarece monitorizează doar traficul de e-mail indirect. Numai următorul salt în rețea poate fi exact în ceea ce privește numerele (dacă ar măsura). Pentru scara logaritmică din imagine: am o perspectivă asupra unui proiect similar cu o scară identică, iar cel mai mare expeditor din lume Google ocupă locul 7 (pe IP).
0
Răspunde
drapel au
Jimmy Chi Kin Chau
Da, înțeleg că trebuie să folosească eșantionarea. Cu toate acestea, înseamnă, de asemenea, că mă voi aștepta la o diferență de 10 ori (presupunem că poate fi oprită de jurnalul 1) în estimarea volumului pentru a vedea dacă IP-ul meu este de fapt spam și, de asemenea, nu se pare că nu există prea multe indicații cu privire la nivelul de spam. este calculat și cum este legat de volumul de e-mail, despre care nu sunt sigur cum să-i judec credibilitatea. Poate că trebuie să tratez lucrurile ceteris paribus și să caut doar schimbări de tendință
1
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.