LINUX.ORG.RU
ФорумAdmin

Чужой почтовый сервер шлёт письма от имени нашего домена


0

1

У нас имеется домен domain.com. Для него существуют A запись: 

$ nslookup -q=A domain.com 8.8.8.8
Server:		8.8.8.8
Address:	8.8.8.8#53

Non-authoritative answer:
Name:	domain.com
Address: 11.22.33.44

и MX-запись: 

$ nslookup -q=MX domain.com 8.8.8.8
Server:		8.8.8.8
Address:	8.8.8.8#53

Non-authoritative answer:
domain.com	mail exchanger = 10 mx.domain.com.

Authoritative answers can be found from:


$ nslookup -q=A mx.domain.com 8.8.8.8
Server:		8.8.8.8
Address:	8.8.8.8#53

Non-authoritative answer:
Name:	mx.domain.com
Address: 11.22.33.44

Настроена обратная запись для IP: 

$ nslookup -q=PTR 11.22.33.44 8.8.8.8
Server:		8.8.8.8
Address:	8.8.8.8#53

Non-authoritative answer:
44.33.22.11.in-addr.arpa	name = mx.domain.com.

Authoritative answers can be found from:

Настроены SPF и DKIM:

$ nslookup -q=TXT domain.com 8.8.8.8
Server:		8.8.8.8
Address:	8.8.8.8#53

Non-authoritative answer:
domain.com	text = "v=spf1 +mx -all"

Authoritative answers can be found from:

nslookup -q=TXT default._domainkey.domain.com 8.8.8.8
Server:		8.8.8.8
Address:	8.8.8.8#53

Non-authoritative answer:
default._domainkey.domain.com	text = "v=DKIM1\; k=rsa\; t=y\; p=MIGdHA6GSCqdR1PQBP2fp15XeeKThBFr1unKcVEg6sBMU/8Mtsm3RNLBOqnzMeCBbVN1VUaJ4qVMACfYijOGRgNsirleWxGnavmohn965It2su5E2EHWCGHm3EFbfvCHwhraBNIio9aDOHkpeuk7TU5e1jhULme9w0tuihdo0xoqZi5aQhvCr9cOCVZgnvnwoV6uoctxr5fFyDiOJ0FlEkD8l3o0CNRDJPy"

Authoritative answers can be found from:

Тем не менее, какой-то левый сервак начал рассылать от нашего имени вредоносные письма. Я попробовал так же с левого сервака отправлять от нашего имени письма на подконтрольные мне ящики из популярных доменов, типа mail.ru, yandex.ru и пр. И во всех случаях письма попадают в спам. Однако, многие владельцы собственных почтовых серверов получают такие письма во входящие.

Вот заголовки вредоносных писем. IP реальные, адреса получателя и отправителя изменены: 

Return-Path: <it@domain.com>
X-Spam-Status: No, hits=0.8 required=10.0
tests=BAYES_00: -1.665,EXTRA_MPART_TYPE: 1,HTML_IMAGE_ONLY_20: 1.546,
HTML_MESSAGE: 0.001,TOTAL_SCORE: 0.882,autolearn=no
X-Spam-Level: 
Received: from mail.pr-lg.ru ([193.105.37.96])
by mail.recipient.ru (Kerio Connect 7.4.3)
for r@recipient.ru;
Mon, 13 Oct 2014 04:43:09 +0400
Received: from gbergbetgbetrbergb (unknown [78.46.243.247])
by mail.pr-lg.ru (Postfix) with ESMTPA id 1A888EAB55
for <r@recipient.ru>; Mon, 13 Oct 2014 04:45:33 +0400 (GMT-4)
Message-ID: <2FD59C30934769FA26236AD7339678C0@gbergbetgbetrbergb>
Reply-To: =?koi8-r?B?5sXExdLBzNjOwdEg88zV1sLBIPPVxMXCztnIIPDSydPU?=
=?koi8-r?B?wdfP1w==?= <vkumskasu@mail.ru>
From: =?koi8-r?B?5sXExdLBzNjOwdEg88zV1sLBIPPVxMXCztnIIPDSydPU?=
=?koi8-r?B?wdfP1w==?= <it@domain.com>
To: <r@recipient.ru>

Что в таком случае можно щё предпринять, чтобы уверить принимающий сервер, что письма не наши?

Каким образом к таким атакам устойчивы сервисы mail.ru, yandex.ru? Ведь у них тоже только SPF и DKIM. Большего я не нашёл

Свободное место на диске
Высокая загрузка CPU на хосте KVM

Политику приёма почты для DKIM надо задать строгую, тогда письма без валидной подписи вообще не будут приниматься нормальными почтовиками.
Ни в спам, ни вообще никуда.

Вот тут начни читать:
http://www.dkim.org/specs/draft-ietf-dkim-ssp-04.html

Goury ★★★★★
()
Последнее исправление: Goury (всего исправлений: 1)

Что в таком случае можно щё предпринять, чтобы уверить принимающий сервер, что письма не наши ?

Ничего, если принимающий сервер никак не проверяет spf или domainkey. Тут только жаловаться тому провайдеру, у кого стоит отправляющий сервер.

AS ★★★★★
()
Ответ на: комментарий от Goury

Не ври,

Не вру. Объясни тогда, как. :-)

и маилра и гугель и ёндекс смотрят на дким очень внимательно.

Сервера для нищебродов не интересуют, это раз, на них свет клином не сошёлся - это два.

AS ★★★★★
()
Ответ на: комментарий от AS

Объясни тогда, как

ADSP

А если у кого-либо почтовик при приёме не проверяет ADSP, то можно на такого получателя смело насрать — у него и так будет миллиард спама в день в каждом ящике.

Goury ★★★★★
()
Ответ на: комментарий от Goury

Спасибо за статью! Счас изучу. У меня, как раз, в плане DKIM и были сомнения, потому как политики у меня вроде как никакой не установлено.

abr_linux
() автор топика
Ответ на: комментарий от Goury

DKIM и SPF - это говно чуть менее, чем полное. Так, на всякий случай. Всегда должна быть возможность отправить сообщение через ближайший сервер текущего провайдера, а не ломится через пол-шарика на какой-то сервер за 20 хопов. То есть, в нормальном случае, применимость и DKIM, и SPF сомнительна. Сам вот посмотри, на сколько часто встречаются жёсткие политики.

AS ★★★★★
()
Ответ на: комментарий от AS

DKIM и SPF - это говно

+1

в нормальном случае, применимость и DKIM, и SPF сомнительна

жестоко плюсую

vxzvxz ★★★
()
Ответ на: комментарий от AS

Говно это то, что в головах у людей, которые пишут такую чушь на лоре.

Всегда должна быть возможность отправить сообщение через ближайший сервер текущего провайдера.

Что тебе мешает подписать его локально ДКИМом и отправить хоть голубиной почтой, хоть пешим курьером?

Сам вот посмотри, на сколько часто

И чо, всем перейти на венду с аутглюком теперь?

Goury ★★★★★
()
Ответ на: комментарий от Goury

Что тебе мешает подписать его локально ДКИМом

Что, каждый ? При каждом перемещении отправителя ? А не убьёшся дописывать каждый раз ?

И чо, всем перейти на венду с аутглюком теперь ?

Офигенно ты связь придумал. :-) Была интересная затея когда-то, mta mark называлась. Это вот было дело, правда, создало бы некоторую нагрузку на провайдеров (по учёту), но оно того стоило. http://tools.ietf.org/html/draft-stumpf-dns-mtamark-04

AS ★★★★★
()
Последнее исправление: AS (всего исправлений: 2)

Кто к чему устойчив ? В поле from всю жизнь что угодно написать можно было.
А рассыльщиков этих посадить вполне можно, там школьники с дедиками поди балуются, мозгов - ноль, по нескольким статьям сразу пойдут.

handbrake ★★★
()
Ответ на: комментарий от AS

А кнопку «написать письмо» каждый раз ты не убиваешься нажимать?
Хочешь подтверждать свою подлинность — подписывай. Хоть дкимом, хоть чем, вариантов много разных.

А не хочешь подтверждать — выключи дким и шли анонимки.
Только не возмущайся, когда кто-нибудь откажется принимать анонимку.

Goury ★★★★★
()
Ответ на: комментарий от handbrake

Со момента введения нормальных политик сетевой безопасности там больше нельзя писать что угодно.
Нормальные сервера такие «что угодно» просто не принимают.

Goury ★★★★★
()
Ответ на: комментарий от Goury

А не хочешь подтверждать — выключи дким и шли анонимки.

А я его и не включаю ввиду его бесполезности. Ещё раз повторяю, это всё имеет смысл исключительно в случае жёсткой привязки к серверу для отправки, что плохо само по себе.

AS ★★★★★
()
Ответ на: комментарий от AS

Вот у меня есть дким, серверов для отправки много, а проблем никаких.
И почта моя приходит в 100% случаев.
А твоя — нет.

Goury ★★★★★
()
Ответ на: комментарий от Goury

А твоя — нет.

Куда надо, у меня тоже приходит в 100% случаев. А если какой-то идиот не принимает почту без DKIM/SPF - это его личные творческие неудачи.

AS ★★★★★
()
Ответ на: комментарий от AS

Эм... Почему не принимает, про DKIM не скажу, но вот, про SPF - там можно же задать политику. Можно поставить ~ или - на твоё же усмотрение. Обычно правда все ставят ~

DALDON ★★★★★
()
Ответ на: комментарий от AS

Ну чужие почтовики, если выполняется условие: ~ ,имеют полное право накинуть штрафных баллов к примеру?

DALDON ★★★★★
()

Однако, многие владельцы собственных почтовых серверов получают такие письма во входящие.

Не знаю что тут за спор dkim vs spf развели, но при такой постановке вопроса ответ прост — очень жаль, но это не твои проблемы.

dmiceman ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Свободное место на диске
Admin
Высокая загрузка CPU на хосте KVM