我收到Mailer Daemon消息,说某些电子邮件失败。我的域名是itaccess.org,由Google应用管理。在没有我为其创建帐户的情况下,有什么方法可以识别谁从我的域发送电子邮件,以及他们是如何做的?

Delivered-To: 7e949ba@itaccess.org
Received: by 10.142.152.34 with SMTP id z34csp12042wfd;
        Wed, 8 Aug 2012 07:12:46 -0700 (PDT)
Received: by 10.152.112.34 with SMTP id in2mr18229790lab.6.1344435165782;
        Wed, 08 Aug 2012 07:12:45 -0700 (PDT)
Return-Path: <whao@www20.aname.net>
Received: from smtp-gw.fsdata.se (smtp-gw.fsdata.se. [195.35.82.145])
        by mx.google.com with ESMTP id b9si24888989lbg.77.2012.08.08.07.12.44;
        Wed, 08 Aug 2012 07:12:45 -0700 (PDT)
Received-SPF: neutral (google.com: 195.35.82.145 is neither permitted nor denied by best guess record for domain of whao@www20.aname.net) client-ip=195.35.82.145;
Authentication-Results: mx.google.com; spf=neutral (google.com: 195.35.82.145 is neither permitted nor denied by best guess record for domain of whao@www20.aname.net) smtp.mail=whao@www20.aname.net
Received: from www20.aname.net (www20.aname.net [89.221.250.20])
    by smtp-gw.fsdata.se (8.14.3/8.13.8) with ESMTP id q78EChia020085
    for <7E949BA@itaccess.org>; Wed, 8 Aug 2012 16:12:43 +0200
Received: from www20.aname.net (localhost [127.0.0.1])
    by www20.aname.net (8.14.3/8.14.3) with ESMTP id q78ECgQ1013882
    for <7E949BA@itaccess.org>; Wed, 8 Aug 2012 16:12:42 +0200
Received: (from whao@localhost)
    by www20.aname.net (8.14.3/8.12.0/Submit) id q78ECgKn013879;
    Wed, 8 Aug 2012 16:12:42 +0200
Date: Wed, 8 Aug 2012 16:12:42 +0200
Message-Id: <201208081412.q78ECgKn013879@www20.aname.net>
To: 7E949BA@itaccess.org
References: <20120808171231.CAC5128A79D815BC08430@USER-PC>
In-Reply-To: <20120808171231.CAC5128A79D815BC08430@USER-PC>
X-Loop: whao@whao.se
From: MAILER-DAEMON@whao.se
Subject: whao.se:  kontot avstängt - account closed
X-FS-SpamAssassinScore: 1.8
X-FS-SpamAssassinRules: ALL_TRUSTED,DCC_CHECK,FRT_CONTACT,SUBJECT_NEEDS_ENCODING

    Detta är ett automatiskt svar från F S Data - http://www.fsdata.se

    Kontot för domänen whao.se är tillsvidare avstängt.
    För mer information, kontakta info@fsdata.se

    Mvh,
    /F S Data

    -----

  This is an automatic reply from F S Data - http://www.fsdata.se

  The domain account "whao.se" is closed.
  For further information, please contact info@fsdata.se

  Best regards,
  /F S Data


评论

万一您希望进一步在网络上搜索该问题,针对此类电子邮件滥用的通用术语称为Joe Job。

问题不在于某人声称自己是您(您的域名),而是某人(其他)相信他们。如果我发送电子邮件给您,声称来自巴拉克·奥巴马,那您会相信我吗?当然不是。您正在“反向散射”。向那些接受了欺骗性电子邮件(“乔工作”)并接受发件人地址正确的人投诉。但是,仅当您的域提供的SPF记录显示唯一有效邮件的来源(地址,主机)时,才执行此操作。

#1 楼

由于尚未明确说明,因此我将其声明。

没有人使用您的域发送垃圾邮件。

他们正在使用欺骗性的发件人数据来生成一封看起来像来自您域的电子邮件。这就像将伪造的回邮地址放到一封邮政邮件上一样容易,所以不,实际上没有办法阻止它。 SPF(如建议的那样)可以使其他邮件服务器更容易地识别实际来自您域的电子邮件和不来自您域的电子邮件,但是就像您无法阻止我将您的邮政地址作为回信地址放在所有我邮寄的死亡威胁,您无法阻止某人将您的域用作其垃圾邮件的回复地址。

SMTP并非旨在确保安全,而且也不安全。 br />

评论


+1为邮政类比。那就是我经常与非技术人员一起使用的那个。没有人需要闯入您的房子就可以发送一封带有您的寄信人地址的外发邮件。他们只需要能够将其放入邮箱即可。

–埃文·安德森(Evan Anderson)
2012年8月8日在20:42

您可能想明确地链接到答案,而不是只说“按建议”

–索比昂·拉文·安德森(ThorbjørnRavn Andersen)
2012年8月8日在21:56

真?您就是发送所有这些死亡威胁的人吗?!? :)

–约翰·罗伯逊
2012年8月9日在0:15



与我一起工作的每个人,加上这里的每个人,总是使用名副其实的barakobama@whitehouse.gov示例,这很有趣。

– Captain Hypertext
16-3-23在23:23

为了更正确,您应该说:没有人使用您(域)的服务器发送垃圾邮件。因为它们确实使用域,即作为FROM地址。当然,SPF完全没有障碍,因为发送者将使用不进行SPF检查的跳服务器。解决方案很简单:负责TO地址的负责服务器应拒绝450,以将其发送给邮件来源的服务器,而不是将DSN发送至负责FROM地址的服务器

– sgohl
16年7月13日在13:43



#2 楼

SMTP(用于传输邮件的协议)的本质是,不对电子邮件中列出的发件人地址进行验证。如果您想发送一封似乎来自president@whitehouse.gov的电子邮件...您可以继续执行此操作,在许多情况下,没有任何人可以阻止您。

话虽如此,如果在为您的域建立SPF记录后,接收系统更有可能将伪造的电子邮件识别为垃圾邮件。 SPF记录标识了允许为您的域发送邮件的系统。并非所有接收系统都注意SPF记录,但是较大的电子邮件提供商将使用此信息。

评论


专门针对Google Apps,您可以按照以下步骤操作。

–MichaelHouse
2012年8月8日在21:51

我现在也有这个问题,我的SPF记录是正确的。不幸的是,许多大型邮件提供商都忽略了SPF记录。包括Yahoo等知名人士。 :-(

–staticsan
2012年8月9日在1:58

不要忘记DomainKeys。 DKIM。

–最佳
2012年8月9日13:22

#3 楼

我赞成已经给出的有关SPF(每个人+1)的答案,但是请注意,如果您决定采用这种方式-这是一种好方法-除非您确定并宣传所有主机,否则就没有意义了。已获准为您的域发送电子邮件,并用-all禁止使用其他所有电子邮件。

?all~all不仅达不到预期的效果,但SF上的一些邮件管理员将其视为它们的标志。垃圾邮件发送者域。

评论


Google关于使用Google Apps发送邮件为域创建SPF条目的指南:“发布使用-all而不是〜all的SPF记录可能会导致传递问题。”

– Ariel
2012年8月8日在21:32



是的,这可能就是重点。只要您详尽列出了可以合法发送邮件的那些主机,您就希望所有其他主机都遇到传递问题。仅当您未能列出所有有效的发送主机时,这些问题才会对您产生影响,而这正是Google所指的。请参阅Chris S在serverfault.com/questions/374452/…上的评论,以获取反对无用(缺少-all)SPF记录的管理员示例。

– MadHatter
2012年8月9日在5:50



但是,如果您使用-all,则使用邮件转发的任何人都不会收到邮件。我相信人们仍然使用邮件转发(是否应该使用它是另一个问题)

– netvope
2012年9月24日13:56



您绝对正确,但这就是SRS(发件人重写系统)的用途。我认为应该理解,SPF和简单(非SRS)转发是互斥的,并且管理员应该只选择其中之一,而不是如果您只是将-F全部更改为例如〜所有。基本上,这根本不使用SPF。

– MadHatter
2012年9月24日14:12



邮件管理员可能正在使用-all,但是最近这些共享主机都包含电子邮件。彻底失败被认为是一种错误配置,而在进行软失败时则不应认真对待。这就是为什么在分析大量垃圾邮件和SPF使用情况之后,SpamAssassins的默认SPF_SOFTFAIL得分要高于默认的SPF_FAIL。 DMARC到底是什么问题?如果您的邮件列表受DMARC策略的影响,则说明您的邮件群发配置不正确。它可以更好地控制您的SPF,并提供反馈报告。您告诉所有Yahoo用户他们将不会收到您的批量邮件吗?

– J.Money
16年4月4日在23:16

#4 楼

发件人策略框架(SPF)可以提供帮助。这是一个电子邮件验证系统,旨在通过验证发件人IP地址来防止垃圾邮件。 SPF允许管理员通过在域名系统(DNS)中创建特定的SPF记录(或TXT记录)来指定允许哪些主机从给定域发送邮件。邮件交换器使用DNS来检查来自给定域的邮件是否由该域的管理员批准的主机发送。

#5 楼

在这个特定示例中,看起来SPF似乎没有帮助。费力地检查SPF记录以拒绝邮件的机器不会被损坏,以接受不存在的域的邮件,然后决定无法传递并生成退回邮件。如果接受whao.se邮件的机器mail-gw01.fsdata.se正确地将其退回,则您的退回邮件将来自Google SMTP服务器。

不幸的是,这种损坏的行为(接受并随后产生反弹)并不少见。您无法采取任何措施来防止某些随机计算机假装它会从您的域中传递消息。关于延迟弹跳,您也无能为力。

但是,您可以减少这些反吹弹跳的阅读量。如果7E949BA不是itaccess.org上的真实用户,我怀疑可能不是,那么您会收到退回消息,因为您启用了全部接收地址。包罗万象意味着您的域将接受任何不存在的用户的电子邮件并将其发送给您。这主要是增加垃圾邮件和退回邮件集合的好方法。在Google Apps中,要配置全部功能,它位于“管理此域”->“设置”->“电子邮件”下,大约一半。

#6 楼

尚未提及的想法是拒绝反向散射。我所看到的所有这些都是通过开放邮件中继实现的,并且有两个黑洞列表对于减少收到的反向散射量很有用。


反向散射体是DNSBL其中明确列出了发送反向散射和发件人标注的SMTP服务器。
-RFC-Ignorant是一个DNSBL,其中列出了不服从各种重要RFC的SMTP服务器。

将它们添加到其他列表中更传统的重点BL)减少了90%以上的反向散射。

#7 楼

您所指的实际上称为BACKSCATTER攻击。现在实际上已经在上面详细解释了。

如何解决它?

可以使用诸如Postfix,qmail和exim等自托管解决方案防止反向散射,但不能使用googleapps,因为它不存在用于处理反向散射的保护,因此很流行,只有SPF记录除外。

#8 楼

正如其他答案所提到的那样,您正在从其他人的电子邮件中收到退信。 SpamCop以前没有将此垃圾邮件称为“垃圾邮件”,但如今,它已接受此报告。例如。我复制了您引用的邮件(并且我已经包括了我的Gmail帐户来确定我的邮件主机),并得到了此结果(已取消)。

总而言之,您可以使用SpamCop来报告发件人这些反弹。它不会(直接)阻止问题的发起者,但可以减少这些反弹。

#9 楼

邮件系统依赖于From:标头,这些标头确实很容易被欺骗。例如,此PHP代码:

mail('someone@live.com', 'Your new Outlook alias is ready to go', 'Ha ha! This is spoofed!', "From: Outlook Team<member_services@live.com>\r\n");


将发送一个电子邮件给someone@live.com,假装是Outlook团队。

评论


不,它依赖于SMTP“信封”发件人(也包括收件人)(在MAIL FROM命令中发送的发件人),它可以与From:标头完全不同。

–德罗伯特
2012年8月13日在18:58



@derobert好的,我不知道。谢谢!

–uınbɐɥs
2012年8月13日在20:35

请继续编辑您的帖子以进行更正...这是使用编辑链接的许多鼓励原因之一。

–德罗伯特
2012年8月14日14:42