Письма подделаны? Постоянно в черном списке

340
AspiringProgrammer

Пожалуйста, укажите мне правильное направление, если это не лучшее место, чтобы спросить об этом, но я управляю сервером на основе linux (centos) с помощью Plesk.

Мы подвергались спам-атаке пару месяцев назад, когда было отправлено более 360 000 электронных писем (по-видимому, от нас), и в наших почтовых ящиках были тысячи поддельных писем.

У меня уже есть SPF, DKIM, DMARC и я не могу понять, где я ошибаюсь.

Мы только что подверглись еще одной атаке, и это не займет много времени, пока мы СНОВА не попадаем в каждый возможный черный список (что делает невозможным контакт с кем-либо из наших реальных клиентов).

Наш SPF выглядит так;

v=spf1 mx include:spf.mandrillapp.com include:_spf.google.com -all

Наш почтовый журнал был заполнен тысячами из них;

Nov 20 21:32:41 hostname postfix/smtpd[45682]: warning: unknown[221.155.161.131]: SASL LOGIN authentication failed: authentication failure Nov 20 21:32:41 hostname postfix/smtpd[45682]: lost connection after AUTH from unknown[221.155.161.131] Nov 20 21:32:41 hostname postfix/smtpd[45682]: disconnect from unknown[221.155.161.131] Nov 20 21:32:42 hostname postfix/smtpd[45682]: connect from unknown[221.155.161.131] Nov 20 21:32:44 hostname plesk_saslauthd[45688]: Invalid mail address 'andy@' Nov 20 21:32:44 hostname postfix/smtpd[45682]: warning: unknown[221.155.161.131]: SASL LOGIN authentication failed: authentication failure Nov 20 21:32:44 hostname postfix/smtpd[45682]: lost connection after AUTH from unknown[221.155.161.131] Nov 20 21:32:44 hostname postfix/smtpd[45682]: disconnect from unknown[221.155.161.131] Nov 20 21:32:44 hostname postfix/smtpd[45682]: connect from unknown[221.155.161.131] Nov 20 21:32:45 hostname plesk_saslauthd[45688]: Invalid mail address 'angel@'

А потом....

Nov 21 09:29:56 hostname postfix/smtpd[47398]: warning: 86-45-150-251-dynamic.agg7.rlc.lmk-mlw.eircom.net[86.45.150.251]: SASL LOGIN authentication failed: authentication failure Nov 21 09:29:56 hostname postfix/smtpd[47398]: lost connection after AUTH from 86-45-150-251-dynamic.agg7.rlc.lmk-mlw.eircom.net[86.45.150.251] Nov 21 09:29:56 hostname postfix/smtpd[47398]: disconnect from 86-45-150-251-dynamic.agg7.rlc.lmk-mlw.eircom.net[86.45.150.251] Nov 21 09:29:56 hostname postfix/smtpd[47398]: connect from 86-45-150-251-dynamic.agg7.rlc.lmk-mlw.eircom.net[86.45.150.251] Nov 21 09:29:58 hostname plesk_saslauthd[48264]: Invalid mail address 'temp@'

Затем, вскоре после этого, более 85 МБ данных почтового журнала заполнено отправленными электронными письмами, за которыми следуют отложенные и заблокированные электронные письма (из-за черных списков).

Любая помощь с благодарностью.

0
Проверяйте, когда ваш сервер позволяет пересылать почту для других доменов. Посмотрите на письма, которые были отправлены через ваш сервер, чтобы понять, что может быть не так. У них есть происхождение вашей компании или разных компаний? Есть ли образец имен отправителей? Seth 7 лет назад 0
Это странно, ретрансляция включена, но требуется проверка подлинности SMTP - единственная схема, которую я заметил в электронных письмах, это то, что они в основном собираются на русско-немецкий рекламный сайт на русском языке. AspiringProgrammer 7 лет назад 0
Есть ли веская причина, по которой реле включено и не заблокировано для определенных хостов? Если вы получаете эти письма от авторизованных хостов, говорите с тем, на котором работает этот хост? Seth 7 лет назад 0

0 ответов на вопрос

Похожие вопросы