web-dev-qa-db-ja.com

私たちのIPはSpamhausによってリストされました-これが再び起こるのをどのように防ぐことができますか?

私は、私たちが独自の電子メールを運営している小さな町の公共図書館の技術アシスタントです。重要なのは、Ubuntu18.04ボックスのPostfixです。ゲートウェイ/ファイアウォールは16.04ボックスで、起動時に実行されるスクリプトを介してポート転送が設定され、iptablesコマンドの長いシーケンスを発行します。

今日、私たちのIPアドレスは2つのSpamhausブロックリストに追加されました。最初はSBL、次にXBLです。先週、送信メッセージがバウンスした後、SBLリストに載っていました。私はそれを削除するプロセスを経て、それは削除されました。しかし、今日の午後、問題が再び発生し、SpamhausのWebサーバーは、IPを削除するという私の要求を受け入れるふりをしましたが、リストに残り、数回実行した後、XBLにも表示されました。

私はインターネットプロバイダーに電話し、彼らのネットワークエンジニアが削除手順を実行し、実際に削除しました。 (または、最初のリクエストの処理に時間がかかった可能性があります。)

ここからどこへ行けばいいの?私はシステム管理者の初心者であり、私が知らないことは...ライブラリを埋めることができます。これが再び発生するのを防ぐために、スパムを送信しているのは何かを調べる必要があります。ポート25を監視しているゲートウェイの外部NICでtcpdumpを試しましたが、調べている間(事後)、疑わしいものは何も見つかりませんでした。他の何かに移るずっと前に、私は認めます)しかし、何が起こっているのか、何が起こっているのかさえわからず、頭を抱えています。ゲートウェイにWiresharkをインストールしましたが、すぐに削除しました。使用するにはグラフィカルデスクトップが必要なようです。/var/log/mail.logを確認しましたが、大量のメールが送信されているようには見えません(ただし、どのように表示されますか?)。

実行中ですSudo tcpdump -i enp3s0 port 25 | tee feb26-27-overnight.log一晩(ゲートウェイ上で、外部向けNICを監視)、何かを見つけることを期待します。しかし、人々に電子メールを送信できるようにするためだけにサイバーフォレンジック調査を必要とせずに、何が起こっているのかを簡単に知る方法があればいいのですが。

続編!自分の電子メールサーバーだけがネットワーク経由で電子メールを送信していることを確認するにはどうすればよいですか?

1
Will Matheson

これまでに行ったことは、SPF、DKIM、そして最後にDMARC用にすべてをセットアップすることです。実装の詳細はネットワークやプラットフォームによって異なるため、私が行ったすべてのことを一撃で説明することはしません。しかし、それをすべて行ったことで、私のメールの受け入れが大幅に改善されたようです。

SPF:かなりぶら下がっている果物。あなたがしなければならないのは、誰があなたのためにメールを送信することを許可されているかを示すDNSレコードを設定することだけであり、あなたがそれを作成するのに役立つたくさんのリソースがあります。 SPFウィザード

DKIM:比較的複雑です。キーやその他のサーバー側のものを処理してから、対応するDNSレコードを設定する必要があります。私は LinuxBabeでのUbuntu(PostfixとDovecotを使用)に関するこれらの手順 に従いました。これにより、送信者があなたからのふりをしてOriginを偽装しただけではなく、電子メールの信頼性をチェックできます。

DMARC:シンプルですが、最初にSPFとDKIMの少なくとも1つを設定する必要があります。 SPFと同様に、メールがSPFやDKIMを通過しない場合に、メールをどう処理するかをサードパーティに指示するDNSレコードを作成しているだけです。一般的な知恵は、「p:none」から始めて、すべての送信メール(複数のソースからのものである可能性があります-たとえば、 Sendgridも使用 )に満足するまで、しばらくの間レポートを読むことです。 )、合格です。 (たとえば、Gmailから毎日ダイジェストを取得できます。)次に、「p:quarantine」または「p:reject」まで推奨をラチェットできます。いくつかの基本的な情報 ここ

ああ、そして簡単な禁止事項: 仮想ドメインエイリアス または転送目的で呼び出されるものは使用しないでください。それらは使いにくいだけでなく(別の方法があるかもしれませんが、ユーザーが持つ可能性のあるすべてのエイリアスに対してそれらを綴る必要がありました)、また、あなた自身のスパムを通過する前にメッセージを転送すると思います-フィルタリングルール。スタッフのメールの1つをHotmailアカウントに転送した直後に、Outlookによってブロックされました。代わりに、セットアップサーバーusers = mail usersであるため、ユーザーのホームディレクトリに次のような内容の.forwardファイルをセットアップできます。[email protected], \localusername。これははるかにエレガントで、メッセージが実際にメールボックスに到達した後にのみ開始されます。

1
Will Matheson
Where should I go from here?

私は気難しいことや否定的なことをしようとはしていませんが、あなたはあなたの電子メールを専門的にホストされたサービスに移すべきです。 Office365。GSuite。なんでも。組織が2020年に社内でメールをホストする必要がある理由はありません。これらのサービスが提供できるレベルの可用性、スケーラビリティ、信頼性を提供することはできません...現在のメールの評判の問題については言うまでもありません。これらのサービスを利用できます。

あなたがこれを自分で続けていると私が考えることができる唯一の正当な理由は、あなたがあなたの電子メールを「家の外」に移動することを妨げる予算の問題または法的な問題のいずれかです。

5
joeqwerty