Question Comment empêcher les gens d'utiliser mon domaine pour envoyer du spam? [dupliquer]


Cette question a déjà une réponse ici:

Je reçois des messages du démon du courrier indiquant que certains courriels échouent. Mon domaine est itaccess.org qui est administré par Google Apps. Est-il possible d'identifier qui envoie des courriels à partir de mon domaine et comment ils le font sans que je crée un compte pour eux?

Delivered-To: 7e949ba@itaccess.org
Received: by 10.142.152.34 with SMTP id z34csp12042wfd;
        Wed, 8 Aug 2012 07:12:46 -0700 (PDT)
Received: by 10.152.112.34 with SMTP id in2mr18229790lab.6.1344435165782;
        Wed, 08 Aug 2012 07:12:45 -0700 (PDT)
Return-Path: <whao@www20.aname.net>
Received: from smtp-gw.fsdata.se (smtp-gw.fsdata.se. [195.35.82.145])
        by mx.google.com with ESMTP id b9si24888989lbg.77.2012.08.08.07.12.44;
        Wed, 08 Aug 2012 07:12:45 -0700 (PDT)
Received-SPF: neutral (google.com: 195.35.82.145 is neither permitted nor denied by best guess record for domain of whao@www20.aname.net) client-ip=195.35.82.145;
Authentication-Results: mx.google.com; spf=neutral (google.com: 195.35.82.145 is neither permitted nor denied by best guess record for domain of whao@www20.aname.net) smtp.mail=whao@www20.aname.net
Received: from www20.aname.net (www20.aname.net [89.221.250.20])
    by smtp-gw.fsdata.se (8.14.3/8.13.8) with ESMTP id q78EChia020085
    for <7E949BA@itaccess.org>; Wed, 8 Aug 2012 16:12:43 +0200
Received: from www20.aname.net (localhost [127.0.0.1])
    by www20.aname.net (8.14.3/8.14.3) with ESMTP id q78ECgQ1013882
    for <7E949BA@itaccess.org>; Wed, 8 Aug 2012 16:12:42 +0200
Received: (from whao@localhost)
    by www20.aname.net (8.14.3/8.12.0/Submit) id q78ECgKn013879;
    Wed, 8 Aug 2012 16:12:42 +0200
Date: Wed, 8 Aug 2012 16:12:42 +0200
Message-Id: <201208081412.q78ECgKn013879@www20.aname.net>
To: 7E949BA@itaccess.org
References: <20120808171231.CAC5128A79D815BC08430@USER-PC>
In-Reply-To: <20120808171231.CAC5128A79D815BC08430@USER-PC>
X-Loop: whao@whao.se
From: MAILER-DAEMON@whao.se
Subject: whao.se:  kontot avstängt - account closed
X-FS-SpamAssassinScore: 1.8
X-FS-SpamAssassinRules: ALL_TRUSTED,DCC_CHECK,FRT_CONTACT,SUBJECT_NEEDS_ENCODING

    Detta är ett automatiskt svar från F S Data - http://www.fsdata.se

    Kontot för domänen whao.se är tillsvidare avstängt.
    För mer information, kontakta info@fsdata.se

    Mvh,
    /F S Data

    -----

  This is an automatic reply from F S Data - http://www.fsdata.se

  The domain account "whao.se" is closed.
  For further information, please contact info@fsdata.se

  Best regards,
  /F S Data

105
2017-08-08 14:17


origine


Au cas où vous souhaiteriez approfondir la recherche sur le Web, ce terme s’appelle "abus". Joe Job. - Oliver
Le problème n'est PAS que quelqu'un prétend être VOUS (votre domaine), mais plutôt que quelqu'un (autrement) le croit. Si je vous envoie un courrier électronique prétendant qu'il provient de Barack Obama, me croiriez-vous? Bien sûr que non. Vous obtenez "backscatter". Se plaindre à ceux qui ont accepté le courrier électronique usurpé ("joe job") et accepté que l'adresse de l'expéditeur était correcte. Mais faites cela UNIQUEMENT si votre domaine propose des enregistrements SPF indiquant où (adresses, hôtes) le seul courrier valide peut provenir. - Skaperen


Réponses:


Comme cela n’a pas encore été explicitement indiqué, je le dirai.

Personne n'utilise votre domaine pour envoyer du spam.

Ils utilisent des données d'expéditeur usurpées pour générer un courrier électronique ressemblant à celui de votre domaine. C'est aussi simple que de mettre une fausse adresse de retour sur un courrier, alors non, il n'y a vraiment aucun moyen de l'arrêter. SPF (comme suggéré) peut permettre aux autres serveurs de messagerie d’identifier plus facilement les messages réellement vient de votre domaine et de votre courriel qui ne le fait pas, mais comme vous ne pouvez pas m'empêcher de mettre votre adresse postale comme adresse de retour pour toutes les menaces de mort que je vous envoie, vous ne pouvez empêcher quelqu'un de donner votre domaine comme réponse. -à adresser sur leur spam.

SMTP n'a tout simplement pas été conçu pour être sécurisé, et ce n'est pas le cas.


137
2017-08-08 15:10



+1 pour l'analogie du courrier postal. C'est celui que j'utilise toujours avec des personnes non techniques. Personne n'a à entrer par effraction chez vous pour envoyer un courrier sortant avec votre adresse de retour. Ils ont juste besoin de pouvoir le déposer dans une boîte aux lettres. - Evan Anderson
Vous voudrez peut-être explicitement créer un lien vers les réponses au lieu de simplement dire "comme suggéré" - Thorbjørn Ravn Andersen
Vraiment? Vous êtes celui qui envoie toutes ces menaces de mort?!? :) - John Robertson
C'est drôle que tout le monde avec qui je travaille, et tous ceux qui sont ici, utilise toujours le véritable exemple barakobama@whitehouse.gov. - Captain Hypertext
Pour être plus correct, vous devriez dire: Personne n’utilise le serveur de votre (domaine) pour envoyer du spam. Parce qu'ils utilisent le domaine, notamment l'adresse FROM. Bien sûr, SPF n'est pas une barrière, car l'expéditeur utilisera un serveur de saut qui ne fait pas de vérification SPF. La solution serait simple: le serveur responsable de l'adresse TO doit rejeter avec 450 le serveur d'où provient le courrier, et non envoyer un DSN au serveur responsable de l'adresse FROM. - roothahn


Selon la nature du protocole SMTP (protocole utilisé pour transférer le courrier), aucune validation n'est effectuée sur l'adresse de l'expéditeur indiquée dans un courrier électronique. Si vous souhaitez envoyer un email qui semble provenir de president@whitehouse.gov... vous pouvez y aller et dans de nombreux cas, personne ne peut rien faire pour vous arrêter.

Cela dit, si vous établissez Enregistrements SPF pour votre domaine, il est plus probable que les systèmes de réception reconnaissent le courrier falsifié en tant que spam. Un enregistrement SPF identifie les systèmes autorisés à générer du courrier pour votre domaine. Tous les systèmes destinataires ne prêtent pas attention aux enregistrements SPF, mais les grands fournisseurs de messagerie utiliseront ces informations.


100
2017-08-08 14:23



Spécifiquement pour Google Apps, vous pouvez suivre ces étapes. - MichaelHouse
J'ai aussi ce problème en ce moment et mes enregistrements SPF sont corrects. Malheureusement, beaucoup de gros fournisseurs de messagerie ignorent les enregistrements SPF. Y compris des luminaires tels que Yahoo. :-( - staticsan
N'oubliez pas DomainKeys. DKIM. - desbest


J'approuve les réponses déjà données concernant SPF (+1, chacun de vous!), Mais veuillez noter que si vous décidez de suivre cette voie - et c'est un bon moyen - il y a pas de point en le faisant, sauf si vous identifiez et annoncez tout hôtes autorisés à envoyer un courrier électronique pour votre domaine et à interdire à tous les autres de -all.

Non seulement ?all et ~all n’ont pas l’effet souhaité, mais certains administrateurs de messagerie sur SF les considèrent comme un signe d’un domaine d’expéditeur proprement spammy.


35
2017-08-08 14:48



Pour envoyer un courrier électronique, Google indique comment créer une entrée SPF pour les domaines utilisant Google Apps: "La publication d'un enregistrement SPF utilisant -all au lieu de ~ all peut entraîner des problèmes de diffusion." - Ariel
Oui, il se peut, c'est le but. Tant que vous avez répertorié de manière exhaustive les hôtes pouvant légitimement envoyer votre courrier, vous voulez que tous les autres hôtes aient des problèmes de livraison; les problèmes ne vous concerneront que si vous avez échoué pour répertorier tous vos hôtes d'envoi valides, et c'est ce à quoi Google fait référence. Voir le commentaire de Chris S sur serverfault.com/questions/374452/… pour un exemple d’administrateur qui prend contre inutile (sans un -all) Enregistrements SPF. - MadHatter
Mais si vous utilisez -all, quelqu'un qui utilise réexpédition du courrier ne recevra pas le courrier. Je crois que les gens continuent à utiliser le transfert de courrier (c'est une autre question) - netvope
Vous avez absolument raison, mais c'est à cela que sert SRS (Sender Rewriting System). Je soutiendrais qu'il devrait être compris que SPF et le transfert simple (non SRS) sont mutuellement exclusifs et que les administrateurs doivent en choisir un seul, pas que vous puissiez toujours utiliser SPF avec le transfert simple si vous modifiez simplement -all par exemple ~all. C'est essentiellement pas en utilisant SPF du tout. - MadHatter
Les administrateurs de messagerie peuvent utiliser -all, mais chaque hôte partagé inclut le courrier électronique ces jours-ci. Un échec total est considéré comme une mauvaise configuration qui ne devrait pas être prise au sérieux tant qu'un échec logiciel est. C'est pourquoi, après avoir analysé des tonnes de spam et d'utilisation de SPF, le score SPF_SOFTFAIL par défaut de SpamAssassins est supérieur à celui par défaut de SPF_FAIL. Quel est exactement le problème avec DMARC? Si vos listes de diffusion sont affectées par une stratégie DMARC, vos analyses de courrier ne sont pas correctement configurées. Il offre plus de contrôle sur votre SPF et fournit des rapports de feedback. Vous dites à tous les utilisateurs de Yahoo qu'ils ne vont pas recevoir votre courrier en nombre? - J.Money


Cadre de politique de l'expéditeur (SPF) peut aider. C'est un système de validation de courrier électronique conçu pour empêcher le courrier électronique indésirable en vérifiant les adresses IP de l'expéditeur. SPF permet aux administrateurs de spécifier les hôtes autorisés à envoyer des messages à partir d'un domaine donné en créant un enregistrement SPF (ou enregistrement TXT) spécifique dans le système de noms de domaine (DNS). Les échangeurs de courrier utilisent le DNS pour vérifier que le courrier d'un domaine donné est envoyé par un hôte sanctionné par les administrateurs de ce domaine.


20
2017-08-08 14:22





Il ne semble pas qu'un FPS aurait aidé dans cet exemple particulier. Une machine qui se souciait de vérifier les enregistrements SPF pour rejeter le courrier a peu de chance d'être acceptée de manière à accepter le courrier pour un domaine inexistant, puis décide qu'elle ne peut pas le livrer et génère le message renvoyé. Si mail-gw01.fsdata.se, l'ordinateur acceptant le courrier pour whao.se, l'avait renvoyé correctement, votre message renvoyé proviendrait d'un serveur SMTP de Google.

Malheureusement, ce type de comportement brisé (accepter puis générer un rebond) n’est pas si rare. Il n'y a rien que vous puissiez faire pour empêcher une machine aléatoire de prétendre qu'elle a un message à transmettre depuis votre domaine. Il n’existe pas non plus de solution pour les rebonds différés.

Vous pouvez cependant avoir moins de ces rebonds de retour à lire. Si 7E949BA n'est pas un véritable utilisateur de itaccess.org, comme je suppose que ce n'est peut-être pas le cas, vous recevez le message de rebond car votre adresse fourre-tout est activée. Un attrape-tout signifie que votre domaine acceptera le courrier électronique de tout utilisateur inexistant et vous le livrera. C’est principalement un bon moyen de développer votre collection de spam et de messages rebonds. Dans Google Apps, pour configurer votre système polyvalent, sélectionnez "Gérer ce domaine" -> Paramètres -> E-mail, à mi-chemin.


5
2017-08-09 01:22





Une idée non encore mentionnée est de rejeter la rétrodiffusion. Tout ce que j'ai vu provient de relais de messagerie ouverts et il existe deux listes de trous noirs que vous pouvez trouver utiles pour réduire la quantité de rétrodiffusion que vous recevez.

  • Rétrodiffusion est un DNSBL qui répertorie explicitement les serveurs SMTP qui envoient des appels rétrodiffusés et des expéditeurs.

  • RFC-Ignorant est un DNSBL qui répertorie les serveurs SMTP qui n'obéissent pas à divers RFC importants.

L'ajout de ces éléments dans (ainsi que dans plusieurs autres BLs plus traditionnels) a permis de réduire de plus de 90% la quantité de rétrodiffusion que je reçois.


3
2017-08-09 16:31





Ce à quoi vous faites référence est en fait appelé une attaque BACKSCATTER. Maintenant ce que c'est réellement est déjà expliqué ci-dessus.

Comment le résoudre ?

La rétrodiffusion peut être empêchée avec des solutions auto-hébergées telles que Postfix, qmail et exim, etc., mais pas avec googleapps, car il est populaire pour ne pas avoir de protection pour traiter les rétrodiffusions, à l'exception des enregistrements SPF.


3
2017-08-08 20:53





Comme mentionné dans les autres réponses, vous recevez des rebonds des courriels de quelqu'un d'autre. SpamCop Auparavant, il n’appelait pas ce spam, mais il accepte actuellement les rapports correspondants. Par exemple. J'ai copié le message que vous avez cité (et j'ai inclus mon compte Gmail pour déterminer mes hôtes de messagerie) et j'ai ce résultat (que j'ai annulé).

En résumé, vous pouvez utiliser SpamCop pour signaler les expéditeurs de ces rebonds. Cela n'arrête pas (directement) les initiateurs du problème, mais cela peut réduire ces rebonds.


0
2017-08-09 05:10