web-dev-qa-db-ja.com

すべての電子メール関連のトラフィックをブロックする方法

最近、サーバーの1つについて、プロバイダーからスパムメールの送信に関する警告が表示されます。

サーバーを使用してメールを送信しないため、postfix/sendmailを削除し、ドメインからMXレコードを削除し、SPFレコードを制限し、ポート25と567で送信トラフィックをブロックし、サーバーから不要なソフトウェアをすべて削除しました。しかし、問題はまだ残っています。過去24時間に10通以上のスパムメールがあったと報告して、spamhausとabuseatから警告を受け取っています。

メールログもチェックしましたが、送信メールのログがなかったので、postfix/sendmailは問題なかったと思います。

問題は、SMTPリレーを使用せずに、ファイアウォールでポートがブロックされている状態で電子メールを送信する他の方法があるかどうか、そして次にどこを見ればよいかということです。

サーバーで実行されているサードパーティソフトウェア:Nginx(リダイレクトまたはプロキシに使用)、Ocserv、Gitea、Taiga、Teamspeak

まず、SMTPは通常ポート25(ブロックしました)とSMTP送信用の587にあります(あなたの質問はポート567これは役に立ちません)、おそらくポート465(SMTPS)もあるので、これらはブロックするポートですが、465、587は通常、認証を期待/必要とするため、スパムを送信するための異常なルートになります。

調査しているサーバー/ IPアドレスからメールが実際に送信されているかどうかを確認し、実際にそれらのポートをブロックしていることを確認してください(特に25)-既知のリモートでサーバーからポート25にtelnet-ingしてみてくださいメールサーバー-ポートがまだ開いている場合はプロンプトが表示されます。その場合、ポートはブロックされません(gmailサーバーの例)。

$ telnet alt1.gmail-smtp-in.l.google.com 25
Trying 2a00:1450:4010:c03::1b...
Connected to alt1.gmail-smtp-in.l.google.com.
Escape character is '^]'.
220 mx.google.com ESMTP c14si24561520lji.153 - gsmtp
quit
221 2.0.0 closing connection c14si24561520lji.153 - gsmtp
Connection closed by foreign Host.
$ 

多分あなたはそこで(不)幸運になります。上記で何が起こっているのか説明できない場合は、さらにいくつかのアイデアがあります。

誰かがあなたのドメインを(彼らが制御する別のサーバーから)なりすましていませんか?

サーバーは、組織内の別のマシンを介して(ポート25、465、または587を介して)中継できますか?電子メールがこの他のマシンから組織を出たとしても、最初のIPは問題のマシンになります。

電子メールを送信するために、マシンにメールサーバーをインストールする必要がないことに注意してください。リモートシステムのポート25へのtelnetセッションと同等の方法ですべてを実行できるため、メールサーバーのログに悪用が表示されないことがよくあります。例えばサーバーサイドスクリプトが追加または侵害された可能性のあるWebサーバー。

SPFレコードを追加したとのことですが、ドメインの電子メールを発信する予定のマシンを指定することをお勧めします。また、DPFよりもセットアップが複雑ですが、DKIMとDMARCを追加してその測定値を増やすことを検討することもできます。

(以下のPooyaのコメントによって促されます)VPNを使用している場合は、VPNがサーバーを離れるトラフィックのバックドアを提供する可能性があるかどうかも検討してください。

1
Andrew Richards