iT邦幫忙

0

郵件信譽評比太低,疑似被當成垃圾信跳板 (senderbase)

keven1516 1 年前2686 瀏覽

大家好,公司的硬體設備以及網路架構如下:

最近發給客戶的信有部分都寄不出去,看退信原因是我們的IP在senderbase信譽過低,

上去查詢之後,得到以下結果:

之前已向hinet申請反解,不過上圖兩個紅圈圈起來的地方卻又不同,

而用電腦去ping,卻是正確的:

發mail去問senderbase得到回應如下:

  1. because one of the HELO-ing domains being used to send mail, (message-services-238.com), has been attributed to possibly hosting / distributing malware. It is quite possible that viral links associated with the HELO-ing domain may have been included in the messages sent through the IP. This would indicate that your network or a system in your network may have been compromised by a spam botnet.

To this end, we are seeing reports of HELO strings which do not match the PTR / rDNS of the IP (XX-XX-XX-XX.hinet-ip.hinet.net).
HELO string(s) reported:
-- overcommandm.message-services-206.com
bowspritsi.message-services-228.com
intermomentaryj.message-services-238.com
bolshoip
obsequialp

又說我們的IP在39小時前有大量發送郵件,有人建議去看mail server紀錄,不過我看不太懂是看SMTP記錄、POP記錄還是主機記錄,不好意思我不會看這些紀錄。

想要請問一下大家該怎麼解決,我已經有發mail給senderbase詢問,不過這問題實在很苦惱。

感謝大家

李大瑋 iT邦研究生 3 級 ‧ 1 年前 檢舉
小弟管理過的公司也曾經被當跳板
後來就卯起來看每一筆的進出(開郵件SERVER)
然後針對可疑的全部封鎖(防火牆)
小弟個人建議既然有郵件伺服器
建議還是用高規一點點的防火牆
管理起來比較札實
針對每個使用功能給于不同對外IP
這樣可以比較快知道是員工中毒還是哪個服務出狀況
以上小弟建議
2
Blue Jacky
iT邦大師 1 級 ‧ 1 年前
最佳解答

總結以上
1.使用固定 IP
2.DNS 正反解正常

請先這麼作
1.賦予 Mail Server 獨立 IP
2.檢查並確認關閉 Mail Server 的 Relay ,不知道 Relay 的話可先參考以下
https://zh.wikipedia.org/wiki/開放轉發
http://big5.webasp.net/article/12/11086.htm
3.可能的話,至少加裝一部簡易防火牆,僅開放外對內、內對外(兩者不同勿混崤)必要的 Port ,網路架構如下圖範例:

然後大約一週再發函請求從黑名單中移除

Blue Jacky iT邦大師 1 級 ‧ 1 年前 檢舉

補圖

keven1516 iT邦新手 5 級 ‧ 1 年前 檢舉

感謝您的回應,目前正著手把IP分享器換掉,我們公司只有10人以內使用電腦,請問您有使用過您圖片上的那台嗎?

0
cpj2028
iT邦新手 4 級 ‧ 1 年前

DNS反解沒做?有些mail SPAM主機會要求要能反解DNS。
例如:
DNS正解: mail.abc.com -> XXX.XXX.XXX.XXX
DNS反解: XXX.XXX.XXX.XXX -> mail.abc.com

如果不一樣,可能被認為是垃圾信!!!

還有一種可能,你們現在使用的IP之前有被前面租用者拿來大量發信過,導致IP被鎖!!!

keven1516 iT邦新手 5 級 ‧ 1 年前 檢舉

您好,感謝您的回覆:

用ping 去查證反解,得到結果是正確的:

DNS正解: mail.abc.com -> XXX.XXX.XXX.XXX
DNS反解: XXX.XXX.XXX.XXX -> mail.abc.com

我們的IP是固定IP,也用了差不多10年了,但是之前都沒有這樣的情形發生,實在很苦惱

0
darkslayer
iT邦好手 1 級 ‧ 1 年前

1.把mail用的ip跟上網用的ip分開來, 有很大的可能性是user的電腦所致.
2.你用的那個DOMlinux可以查到每個帳號收發郵件的統計表(爺件使用報告), 看一下有沒有大量寄送郵件的帳號.
3.伺服器對應轉寄功能記得關掉

看更多先前的回應...收起先前的回應...
keven1516 iT邦新手 5 級 ‧ 1 年前 檢舉

您好,感謝您的回覆:

我看了郵件使用報告,都是正常的,放假時段發mail數量也都是0

郵件伺服器 / 伺服器對應轉寄服務 這個功能也沒有開啟

所以有可能的原因是user電腦中毒嗎? 不過server卻查不到大量發mail的紀錄

賽門 iT邦超人 1 級 ‧ 1 年前 檢舉

darkslayer提到:
爺件使用報告

有"孫件使用者報告"嗎?

raytracy iT邦大神 1 級 ‧ 1 年前 檢舉

simon581923提到:
孫件使用者報告

哈哈

darkslayer iT邦好手 1 級 ‧ 1 年前 檢舉

落寞

darkslayer iT邦好手 1 級 ‧ 1 年前 檢舉

keven1516提到:
放假時段發mail數量也都是0

那就是有使用者中毒了, 慢慢查吧!
建議換台防火牆..

keven1516 iT邦新手 5 級 ‧ 1 年前 檢舉

不好意思,請問您有推薦的嗎? 廠商目前是報給我們
FORTINET FortiGate-30D

6
門神JanusLin
iT邦大師 1 級 ‧ 1 年前

我們查過的狀況有下列幾種

  1. DNS設定問題
    a.DNS代管無法帶出SPF
    b.DNS代管無法送出Domain Key
    c.DNS代管無法送出Send-ID
  2. IP不足256個IP需要向ISP申請PTR的值,貴公司根本沒申請
  3. NS的設定正確與否
  4. IP不要跟Firewall同IP,以免和電腦跟Mail Server上Internet同IP,電腦中毒猛發廣告信或是病毒信
  5. Open relay或是帳號和密碼被猜中,或是根本沒有更改預設的帳號跟密碼,被發廣告信
  6. 轉寄發同一份笑話信,或是一直都是重覆的同一封Mail重覆發送
  7. 大量發廣告行銷信
  8. 查無此收件者User know的退信讓對方誤以為攻擊
  9. Web Server主機跟Mail Server主機同一個IP,Web Server主機用的網站套件有漏洞
  10. 新申請的IP早就在黑名單內
  11. 發信速度過於頻繁,每秒或是每分鐘超過對方限定的幾次,對方可能有郵件阻斷攻擊服務Mail-Dos

我們查過的差不多就是這樣

http://www.ublink.org/index.php/15-article/umail/15-spam

keven1516 iT邦新手 5 級 ‧ 1 年前 檢舉

謝謝您的回覆,目前將著手換到分享器以及更換密碼

Blue Jacky iT邦大師 1 級 ‧ 1 年前 檢舉

專家講話了,要聽進去...呵。

0
jeffher1024
iT邦新手 5 級 ‧ 1 年前

這種情形我有遇到過,Mail Server 一堆退信,後來把Server上所有人寄信驗證全部啟用,之前是公司內部寄信不用驗證,後來查看寄信log ,有一位同仁帳號密碼因為設定太簡單,被用來大量寄廣告信,後來請user重設為更複雜的密碼後就OK.
另外我的mail server 有設定DNS反解及 SPF 紀錄. 另外有參考國外即時黑名單,給你參考看看.
Benson

我要發表回答

立即登入回答