iT邦幫忙

1

郵件信譽評比太低,疑似被當成垃圾信跳板 (senderbase)

大家好,公司的硬體設備以及網路架構如下:

最近發給客戶的信有部分都寄不出去,看退信原因是我們的IP在senderbase信譽過低,

上去查詢之後,得到以下結果:

之前已向hinet申請反解,不過上圖兩個紅圈圈起來的地方卻又不同,

而用電腦去ping,卻是正確的:

發mail去問senderbase得到回應如下:

  1. because one of the HELO-ing domains being used to send mail, (message-services-238.com), has been attributed to possibly hosting / distributing malware. It is quite possible that viral links associated with the HELO-ing domain may have been included in the messages sent through the IP. This would indicate that your network or a system in your network may have been compromised by a spam botnet.

To this end, we are seeing reports of HELO strings which do not match the PTR / rDNS of the IP (XX-XX-XX-XX.hinet-ip.hinet.net).
HELO string(s) reported:
-- overcommandm.message-services-206.com
bowspritsi.message-services-228.com
intermomentaryj.message-services-238.com
bolshoip
obsequialp

又說我們的IP在39小時前有大量發送郵件,有人建議去看mail server紀錄,不過我看不太懂是看SMTP記錄、POP記錄還是主機記錄,不好意思我不會看這些紀錄。

想要請問一下大家該怎麼解決,我已經有發mail給senderbase詢問,不過這問題實在很苦惱。

感謝大家

李大瑋 iT邦好手 1 級 ‧ 2016-03-08 17:14:32 檢舉
小弟管理過的公司也曾經被當跳板
後來就卯起來看每一筆的進出(開郵件SERVER)
然後針對可疑的全部封鎖(防火牆)
小弟個人建議既然有郵件伺服器
建議還是用高規一點點的防火牆
管理起來比較札實
針對每個使用功能給于不同對外IP
這樣可以比較快知道是員工中毒還是哪個服務出狀況
以上小弟建議
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
2
Blue Jacky
iT邦大師 1 級 ‧ 2016-03-08 18:31:41
最佳解答

總結以上
1.使用固定 IP
2.DNS 正反解正常

請先這麼作
1.賦予 Mail Server 獨立 IP
2.檢查並確認關閉 Mail Server 的 Relay ,不知道 Relay 的話可先參考以下
https://zh.wikipedia.org/wiki/開放轉發
http://big5.webasp.net/article/12/11086.htm
3.可能的話,至少加裝一部簡易防火牆,僅開放外對內、內對外(兩者不同勿混崤)必要的 Port ,網路架構如下圖範例:

然後大約一週再發函請求從黑名單中移除

補圖

keven1516 iT邦新手 5 級 ‧ 2016-03-10 17:15:47 檢舉

感謝您的回應,目前正著手把IP分享器換掉,我們公司只有10人以內使用電腦,請問您有使用過您圖片上的那台嗎?

0
cpj2028
iT邦新手 4 級 ‧ 2016-03-08 17:29:47

DNS反解沒做?有些mail SPAM主機會要求要能反解DNS。
例如:
DNS正解: mail.abc.com -> XXX.XXX.XXX.XXX
DNS反解: XXX.XXX.XXX.XXX -> mail.abc.com

如果不一樣,可能被認為是垃圾信!!!

還有一種可能,你們現在使用的IP之前有被前面租用者拿來大量發信過,導致IP被鎖!!!

keven1516 iT邦新手 5 級 ‧ 2016-03-08 17:47:18 檢舉

您好,感謝您的回覆:

用ping 去查證反解,得到結果是正確的:

DNS正解: mail.abc.com -> XXX.XXX.XXX.XXX
DNS反解: XXX.XXX.XXX.XXX -> mail.abc.com

我們的IP是固定IP,也用了差不多10年了,但是之前都沒有這樣的情形發生,實在很苦惱

0
darkslayer
iT邦好手 1 級 ‧ 2016-03-08 17:36:31

1.把mail用的ip跟上網用的ip分開來, 有很大的可能性是user的電腦所致.
2.你用的那個DOMlinux可以查到每個帳號收發郵件的統計表(爺件使用報告), 看一下有沒有大量寄送郵件的帳號.
3.伺服器對應轉寄功能記得關掉

看更多先前的回應...收起先前的回應...
keven1516 iT邦新手 5 級 ‧ 2016-03-08 17:45:22 檢舉

您好,感謝您的回覆:

我看了郵件使用報告,都是正常的,放假時段發mail數量也都是0

郵件伺服器 / 伺服器對應轉寄服務 這個功能也沒有開啟

所以有可能的原因是user電腦中毒嗎? 不過server卻查不到大量發mail的紀錄

賽門 iT邦超人 1 級 ‧ 2016-03-08 18:04:36 檢舉

darkslayer提到:
爺件使用報告

有"孫件使用者報告"嗎?

Ray iT邦大神 1 級 ‧ 2016-03-09 10:00:19 檢舉

simon581923提到:
孫件使用者報告

哈哈

落寞

keven1516提到:
放假時段發mail數量也都是0

那就是有使用者中毒了, 慢慢查吧!
建議換台防火牆..

keven1516 iT邦新手 5 級 ‧ 2016-03-10 17:13:11 檢舉

不好意思,請問您有推薦的嗎? 廠商目前是報給我們
FORTINET FortiGate-30D

7

我們查過的狀況有下列幾種

  1. DNS設定問題
    a.DNS代管無法帶出SPF
    b.DNS代管無法送出Domain Key
    c.DNS代管無法送出Send-ID
  2. IP不足256個IP需要向ISP申請PTR的值,貴公司根本沒申請
  3. NS的設定正確與否
  4. IP不要跟Firewall同IP,以免和電腦跟Mail Server上Internet同IP,電腦中毒猛發廣告信或是病毒信
  5. Open relay或是帳號和密碼被猜中,或是根本沒有更改預設的帳號跟密碼,被發廣告信
  6. 轉寄發同一份笑話信,或是一直都是重覆的同一封Mail重覆發送
  7. 大量發廣告行銷信
  8. 查無此收件者User know的退信讓對方誤以為攻擊
  9. Web Server主機跟Mail Server主機同一個IP,Web Server主機用的網站套件有漏洞
  10. 新申請的IP早就在黑名單內
  11. 發信速度過於頻繁,每秒或是每分鐘超過對方限定的幾次,對方可能有郵件阻斷攻擊服務Mail-Dos

我們查過的差不多就是這樣

http://www.ublink.org/index.php/15-article/umail/15-spam

keven1516 iT邦新手 5 級 ‧ 2016-03-10 17:17:26 檢舉

謝謝您的回覆,目前將著手換到分享器以及更換密碼

專家講話了,要聽進去...呵。

0
jeffher1024
iT邦新手 5 級 ‧ 2016-03-15 09:45:05

這種情形我有遇到過,Mail Server 一堆退信,後來把Server上所有人寄信驗證全部啟用,之前是公司內部寄信不用驗證,後來查看寄信log ,有一位同仁帳號密碼因為設定太簡單,被用來大量寄廣告信,後來請user重設為更複雜的密碼後就OK.
另外我的mail server 有設定DNS反解及 SPF 紀錄. 另外有參考國外即時黑名單,給你參考看看.
Benson

riches88 iT邦研究生 3 級 ‧ 2018-03-21 08:30:51 檢舉

http://www.richesinfo.com.tw/index.php/edm/edm-faq/174-spf
DNS SPF 的運作機制就是在DNS伺服器中加入 txt 的紀錄,此txt紀錄者這個網域名稱能的所有郵件伺服器,相反地,只有這些紀錄中的郵件伺服器可以寄送該網域名稱的郵件,所以能夠提供一個冒用的檢查方法。
SPF主要的功能是讓收信端郵件伺服器根據來信中寄件者網域資料主動去向寄信端所屬的DNS伺服器核對其SPF紀錄。收釁端郵件伺服器再依照比對結果做接收與否的決定。
寄件者原則架構是一種用於協助防止電子郵件詐騙的記錄。它可讓您在單一簡易 TXT 記錄中指定用來傳送郵件的所有 IP 位址,並且告知接收伺服器只允許您所列出的外寄伺服器。
雖然SPF不能完全保證別人盜用你的寄件者身份,主要還是依賴收件端郵件伺服器的設定,但有此設定,可提高避免您的郵件伺服器寄出的郵件被誤判為垃圾信件

我要發表回答

立即登入回答