ตรวจสอบกระบวนการที่เชื่อมต่อกับพอร์ตภายนอก

ฉันใช้เซิร์ฟเวอร์อีเมลสำหรับสมาคมโรงเรียน และเรามีบริการส่งต่ออีเมลสำหรับนักเรียนที่สำเร็จการศึกษา โดยเสนอชื่อแทนอีเมลในชื่อโดเมนของเรา เช่น [email protected] และเราส่งต่ออีเมลไปยังที่อยู่ส่วนบุคคลที่กำหนดซึ่งลงทะเบียนไว้กับเรา .

เมื่อเร็ว ๆ นี้เราได้อัปเกรดจากเซิร์ฟเวอร์อีเมลเก่ามากซึ่งไม่รองรับเวอร์ชัน TLS ที่ใหม่กว่าอีกต่อไป และย้ายไปที่ ubuntu20 postfix + spamassassin + perl spf check config หลังจากตั้งค่าแล้ว เราพบว่า IP นั้นมีชื่อเสียงในด้านการส่งอีเมล์สแปม ฉันตรวจสอบ postfix main.cf อีกครั้งและ postfix ไม่ควรทำงานเป็น open relay

smtpd_sender_restrictions =
    permit_mynetworks,
    permit_sasl_authenticated,
    ปฏิเสธ_non_fqdn_sender
    ปฏิเสธ_unknown_sender_domain
smtpd_relay_restrictions =
    permit_mynetworks,
    permit_sasl_authenticated,
    defer_unauth_destination

การค้นหาปริมาณอีเมลเป็นเรื่องที่น่ากังวลเล็กน้อยเนื่องจากบางเว็บไซต์ดูเหมือนจะบันทึก IP ของฉันที่ส่งอีเมล 1 ใน 30 ล้านฉบับในโลกในบางวัน

https://talosintelligence.com/reputation_center/lookup

แน่นอน ฉันไม่คิดว่าพวกเขาจะบั๊กเซิร์ฟเวอร์ของฉันเพื่อตรวจสอบฉัน ดังนั้นฉันจึงไม่รู้ว่าข้อมูลของพวกเขามาจากไหน

ฉันกำลังคิดที่จะตรวจสอบว่ามีโปรแกรมอื่นที่อาจส่งอีเมลบนเซิร์ฟเวอร์ของฉันหรือไม่

ฉันได้ตั้งค่า ufw เพื่ออนุญาตพอร์ตปลายทาง 25 ออกด้วยการเข้าสู่ระบบ

สถานะ #sudo ufw
ถึงการดำเนินการจาก
-- ------ ----
25 อนุญาตให้ออกได้ทุกที่ (บันทึก)

ฉันเห็นรายการออกประมาณ 6,000 รายการในช่วง 60 ชั่วโมงที่ผ่านมาใน ufw.log โดย grep "DPT=25 " ซึ่งดูสมเหตุสมผลสำหรับฉันเนื่องจากเรามีสมาชิกตามลำดับที่ 1,000

ตรวจสอบ mail.log ด้วย จำนวนบรรทัดสำหรับการจัดส่ง (250 ตกลง 550*, 454*) เพิ่มเป็น 3000 บรรทัดโดยประมาณ

และฉันยังเห็นหลายครั้งที่ postfix พยายามส่งการแจ้งเตือนที่ไม่นำส่ง แต่การเชื่อมต่อนั้นหมดเวลาหรือถูกปฏิเสธ ฉันได้เพิ่มเวลาแบ็คออฟขั้นต่ำและสูงสุด และลดอายุการใช้งานของคิวเพื่อลองลดปริมาณการลองซ้ำของอีเมลสแปมบางรายการที่เราได้รับจากนามแฝง

ฉันยังได้รับการตีกลับจากเช่น gmail และเซิร์ฟเวอร์ smtp อื่น ๆ

status=bounced (โฮสต์ gmail-smtp-in.l.google.com[74.125.130.26] กล่าวว่า: 550-5.7.26 ข้อความนี้ไม่มีข้อมูลการตรวจสอบสิทธิ์หรือไม่ผ่านการตรวจสอบสิทธิ์ 550-5.7.26 เพื่อป้องกันอย่างดีที่สุด ผู้ใช้ของเรา ข้อความถูกบล็อก
status=bounced (host gmail-smtp-in.l.google.com[74.125.130.26] said: 550-5.7.1 [MY IP] ระบบของเราตรวจพบว่าข้อความนี้น่าจะเป็นเมลไม่พึงประสงค์ 550-5.7.1 ถึง ลดปริมาณสแปมที่ส่งไปยัง Gmail ข้อความนี้ถูกบล็อก
status=bounced (โฮสต์ gmail-smtp-in.l.google.com[74.125.130.26] กล่าวว่า: 550-5.7.1 [MY IP] ระบบของเราตรวจพบว่าข้อความนี้น่าสงสัย 550-5.7.1 เนื่องจาก ชื่อเสียงต่ำมากในการส่งที่อยู่ IP 550-5.7.1 เพื่อปกป้องผู้ใช้ของเราจากสแปมอย่างดีที่สุด ข้อความจึงถูกบล็อก 550-5.7.1
สถานะ=เลื่อน (โฮสต์ imsmx1.netvigator.com[219.76.94.45] ปฏิเสธที่จะคุยกับฉัน: 554-wironin01.netvigator.com 554 ปฏิเสธ: อีเมลสแปมจากเซิร์ฟเวอร์ IP <MY IP> ถูกบล็อกโดย Talos โปรดไปที่ "https: //www.talosintelligence.com/reputation_center/lookup?search=MY IP"
สถานะ = เลื่อนออกไป (เชื่อมต่อกับ mail.feed-silver.cam[89.144.62.60]:25: การเชื่อมต่อถูกปฏิเสธ)
(การแจ้งเตือนที่ไม่ได้ส่งของผู้ส่ง) status=bounced (host aspmx.l.google.com[142.251.12.26] กล่าวว่า: 550-5.1.1 ไม่มีบัญชีอีเมลที่คุณพยายามเข้าถึง โปรดลอง 550-5.1.1 ตรวจสอบที่อยู่อีเมลของผู้รับอีกครั้งเพื่อหาข้อผิดพลาดหรือการเว้นวรรคที่ไม่จำเป็น 550-5.1.1

1. ฉันควรกังวลว่ากระบวนการอื่น ๆ กำลังส่งอีเมลบนเซิร์ฟเวอร์ของฉันซึ่งทำลายชื่อเสียงอีเมลของฉันหรือไม่ นั่นเป็นเหตุผลที่ฉันหวังว่าฉันจะสามารถตรวจสอบจากบันทึก ufw ว่ากระบวนการใดพยายามเชื่อมต่อกับพอร์ต 25 ภายนอก
2. ข้อมูลไซต์ชื่อเสียงอีเมลเชื่อถือได้หรือไม่ ฉันหมายความว่า ฉันไม่แน่ใจว่าอีเมลปริมาณ 2+ มีอะไรน่ากังวลหรือไม่ แต่ netvigator ซึ่งเป็น ISP ตรวจสอบแล้วว่ามันให้ความน่าเชื่อถือในระดับที่สมเหตุสมผล
3. สำหรับสมาคมของเราที่ให้บริการส่งต่ออีเมล เราควรทิ้งอีเมลที่มีคะแนนสแปมสูงทันทีหรือเพียงแค่ใช้วิธีปฏิบัติที่เป็นค่าเริ่มต้นของสแปมแมสซาซินเพื่อเพิ่ม [สแปม] ในหัวข้อและปล่อยให้ผู้รับสุดท้ายตัดสินใจจัดการ? อ้างอิง: https://support.google.com/a/answer/175365?hl=th
4. เราส่งต่อชื่อเสียงในถังขยะอีเมลสแปมของ IP ที่ส่งของเราหรือไม่
5. เราควรส่งต่อการแจ้งเตือนการไม่ส่งของผู้ส่งกลับไปยังผู้ส่งหรือไม่ แม้ว่าบางครั้งฉันอ่านในบันทึกเมล แต่ดูเหมือนว่าจะล้มเหลวในทันที แต่ให้สงสัยว่าเป็นอีเมลส่วนหัวปลอมแปลง
6. มี IP ใดบ้างที่เทียบเท่ากับ SPF กับชื่อโดเมน หรือเป็นไปไม่ได้เลยเนื่องจากการส่งต่ออีเมล
7. การตั้งค่า dkim ช่วยให้ชื่อเสียงของ IP ของฉันดีขึ้นหรือไม่ เรามีอีเมลจำนวนเล็กน้อยที่ส่งออกผ่านโดเมนของเราเอง

1. ใช่และไม่. คุณควรจะกังวล ค้นหาสาเหตุที่แท้จริง แต่ผู้ร้ายอาจไม่ใช่เซิร์ฟเวอร์อีเมล นอกจากนี้ยังสามารถเป็นอุปกรณ์หลอกลวงในเครือข่ายที่แบ่งปัน IP ที่เปิดเผยต่อสาธารณะ แต่เนื่องจากเราไม่ทราบโทโพโลยีของเครือข่ายของคุณ นั่นเป็นการคาดเดาล้วนๆ
2. ใช่ พวกเขามีชื่อเสียง ยิ่งใช้ IP นานขึ้น (สำหรับแฮมและสแปม) การวิเคราะห์ก็ยิ่งน่าเชื่อถือมากขึ้นเท่านั้น หนามแหลมขนาดใหญ่ผิดปกติดังที่แสดงไว้เป็นเรื่องที่เกี่ยวข้องและจำเป็นต้องได้รับการตรวจหาสาเหตุอย่างถี่ถ้วน
3. ทั้งแฟล็ก (แล้วรีเลย์) หรือดรอป จะต้องถูกปฏิเสธก่อนที่จะรับจดหมาย สิ่งนี้เรียกว่าการกรองคิวล่วงหน้า
4. แน่นอนใช่ แต่ปัญหาของคุณตอนนี้แตกต่างออกไป การแฮ็ก สแปมบอต การละเมิดบัญชี รีเลย์โจมตี ไวรัส ...
5. จะต้องส่ง NDN กลับไปยังผู้ส่งเดิม แต่ดำเนินการก่อน 3). ตรวจสอบ NDN ด้วยเพื่อดูว่าที่อยู่สำหรับส่งต่อของคุณยังคงอยู่หรือไม่ ผู้ใช้บางรายปิดบัญชีของตนและไม่แจ้งให้คุณทราบว่าการส่งต่อจะไม่ทำงานนับจากนั้นเป็นต้นไป หรือต้องส่งไปยังที่อยู่อื่นแทน
6. ฉันไม่เข้าใจสิ่งนั้น SPF ขึ้นอยู่กับชื่อโดเมนเพื่อจัดประเภท IP ที่ส่ง หรือคุณหมายถึง DNSRBL พวกเขาควรเป็นส่วนหนึ่งของมาตรการป้องกันสแปมของคุณด้วย 3)
7. ใช่ แต่สำหรับการส่งต่อเมลนั้นไม่ได้ช่วยอะไรเลย ช่วยในการต้นทางอีเมลจากจุดสิ้นสุดของคุณ แต่ชื่อเสียงกลับหายไปจากสาเหตุการแพร่ระบาดของสแปมที่แท้จริง

ดังนั้นก่อนอื่นให้หาผู้ร้ายและกำจัดสิ่งนั้นจากนั้นใช้เทคนิคป้องกันสแปมเพื่อลดการยอมรับสแปมและส่งต่อสแปม ทำได้โดยปฏิเสธเมลขาเข้า การกรองไม่ดี เว้นแต่คุณจะกรองคิวล่วงหน้าในระหว่างกล่องโต้ตอบ SMTP

หลังจากทำเช่นนั้นแล้วให้ถามตัวเองว่าการส่งต่ออีเมลเป็นวิธีที่จะไปหรือไม่ ไคลเอ็นต์อีเมลทั้งหมดสามารถจัดการได้หลายบัญชี ดังนั้นโฮสต์อีเมลด้วยตัวคุณเอง