Vraag Hoe kan ik voorkomen dat mensen mijn domein gebruiken om spam te verzenden? [duplicaat]


Deze vraag heeft hier al een antwoord:

Ik ontvang Mailer Daemon-berichten waarin staat dat bepaalde e-mails mislukken. Mijn domein is itaccess.org die wordt beheerd door Google-apps. Is er een manier waarop ik kan identificeren wie e-mails verzendt vanuit mijn domein en hoe ze het doen zonder dat ik een account voor hen maak?

Delivered-To: 7e949ba@itaccess.org
Received: by 10.142.152.34 with SMTP id z34csp12042wfd;
        Wed, 8 Aug 2012 07:12:46 -0700 (PDT)
Received: by 10.152.112.34 with SMTP id in2mr18229790lab.6.1344435165782;
        Wed, 08 Aug 2012 07:12:45 -0700 (PDT)
Return-Path: <whao@www20.aname.net>
Received: from smtp-gw.fsdata.se (smtp-gw.fsdata.se. [195.35.82.145])
        by mx.google.com with ESMTP id b9si24888989lbg.77.2012.08.08.07.12.44;
        Wed, 08 Aug 2012 07:12:45 -0700 (PDT)
Received-SPF: neutral (google.com: 195.35.82.145 is neither permitted nor denied by best guess record for domain of whao@www20.aname.net) client-ip=195.35.82.145;
Authentication-Results: mx.google.com; spf=neutral (google.com: 195.35.82.145 is neither permitted nor denied by best guess record for domain of whao@www20.aname.net) smtp.mail=whao@www20.aname.net
Received: from www20.aname.net (www20.aname.net [89.221.250.20])
    by smtp-gw.fsdata.se (8.14.3/8.13.8) with ESMTP id q78EChia020085
    for <7E949BA@itaccess.org>; Wed, 8 Aug 2012 16:12:43 +0200
Received: from www20.aname.net (localhost [127.0.0.1])
    by www20.aname.net (8.14.3/8.14.3) with ESMTP id q78ECgQ1013882
    for <7E949BA@itaccess.org>; Wed, 8 Aug 2012 16:12:42 +0200
Received: (from whao@localhost)
    by www20.aname.net (8.14.3/8.12.0/Submit) id q78ECgKn013879;
    Wed, 8 Aug 2012 16:12:42 +0200
Date: Wed, 8 Aug 2012 16:12:42 +0200
Message-Id: <201208081412.q78ECgKn013879@www20.aname.net>
To: 7E949BA@itaccess.org
References: <20120808171231.CAC5128A79D815BC08430@USER-PC>
In-Reply-To: <20120808171231.CAC5128A79D815BC08430@USER-PC>
X-Loop: whao@whao.se
From: MAILER-DAEMON@whao.se
Subject: whao.se:  kontot avstängt - account closed
X-FS-SpamAssassinScore: 1.8
X-FS-SpamAssassinRules: ALL_TRUSTED,DCC_CHECK,FRT_CONTACT,SUBJECT_NEEDS_ENCODING

    Detta är ett automatiskt svar från F S Data - http://www.fsdata.se

    Kontot för domänen whao.se är tillsvidare avstängt.
    För mer information, kontakta info@fsdata.se

    Mvh,
    /F S Data

    -----

  This is an automatic reply from F S Data - http://www.fsdata.se

  The domain account "whao.se" is closed.
  For further information, please contact info@fsdata.se

  Best regards,
  /F S Data

105
2017-08-08 14:17


oorsprong


Voor het geval u verder op het web wilt zoeken naar dat probleem, wordt de algemene term voor dat soort e-mailmisbruik gebeld Joe Job. - Oliver
Het probleem is NIET dat iemand beweert JOU te zijn (je domein), maar dat iemand (anders) ze gelooft. Als ik een e-mail naar je verzend, waarin wordt beweerd dat het van Barack Obama komt, zou je me dan willen geloven? Natuurlijk niet. U krijgt "backscatter". Klacht bij degenen die de vervalste e-mail hebben geaccepteerd ("Joe Job") en accepteerde dat het Van-adres correct was. Maar doe dit ALLEEN als uw domein SPF-records aanbiedt die laten zien waar (adressen, hosts) de enige geldige mail vandaan kan komen. - Skaperen


antwoorden:


Omdat het nog niet expliciet is vermeld, zal ik het vermelden.

Niemand gebruikt uw domein om spam te verzenden.

Ze gebruiken vervalste gegevens van afzenders om een ​​e-mail te genereren die eruitziet alsof deze afkomstig is van uw domein. Het is ongeveer net zo eenvoudig als een vals retouradres plaatsen op een stuk post, dus nee, er is echt geen manier om het te stoppen. SPF (zoals voorgesteld) kan het voor andere e-mailservers gemakkelijker maken om e-mail te identificeren werkelijk afkomstig is van uw domein en e-mail die dat niet doet, maar net zoals u me niet kunt weerhouden van het plaatsen van uw postadres als het retouradres op alle doodsbedreigingen die ik mail, kunt u niet voorkomen dat iemand uw domein als het antwoord plaatst -om te adresseren op hun spam.

SMTP was gewoon niet ontworpen om veilig te zijn, en dat is het niet.


137
2017-08-08 15:10



+1 voor de analogie van de post. Dat is degene die ik altijd gebruik met niet-technische mensen. Niemand hoeft in te breken in uw huis om een ​​uitgaande post met uw retouradres erop te verzenden. Ze moeten het gewoon in een mailbox kunnen laten vallen. - Evan Anderson
U wilt mogelijk expliciet verwijzen naar antwoorden in plaats van alleen maar te zeggen "zoals voorgesteld" - Thorbjørn Ravn Andersen
Werkelijk? Jij bent degene die al die doodsbedreigingen stuurt?!? :) - John Robertson
Het is grappig dat iedereen met wie ik werk, plus iedereen hier, altijd het echte voorbeeld barakobama@whitehouse.gov gebruikt. - Captain Hypertext
Om meer correct te zijn, zou je moeten zeggen: niemand gebruikt jouw (domein) server om spam te versturen. Omdat ze het domein gebruiken, namelijk als het FROM-adres. Natuurlijk is SPF helemaal geen barrière, omdat de verzender een hop-server zal gebruiken die geen SPF-controles uitvoert. Oplossing zou eenvoudig zijn: de verantwoordelijke server voor het TO-adres zou 450 moeten weigeren naar de server waar de mail vandaan komt, niet om een ​​DSN naar de server te sturen die verantwoordelijk is voor het FROM-adres - roothahn


Het is de aard van SMTP (het protocol dat wordt gebruikt om e-mail over te zetten) dat er geen validatie wordt uitgevoerd op het adres van de afzender in een e-mail. Als u een e-mail wilt verzenden die lijkt te zijn verzonden president@whitehouse.gov... je kunt doorgaan en dat doen, en in veel gevallen is er niets dat iemand kan doen om je te stoppen.

Dat gezegd hebbende, als u vaststelt SPF-records voor uw domein is de kans groter dat ontvangende systemen de vervalste e-mail herkennen als spam. Een SPF-record identificeert systemen die e-mail mogen genereren voor uw domein. Niet alle ontvangende systemen letten op SPF-records, maar grotere e-mailproviders zullen deze informatie gebruiken.


100
2017-08-08 14:23



Specifiek voor Google Apps die u kunt volgen deze stappen. - MichaelHouse
Ik heb op dit moment ook dit probleem en mijn SPF-records zijn correct. Helaas negeren veel grote mailproviders SPF-records. Inclusief lampen zoals Yahoo. :-( - staticsan
Vergeet DomainPeys niet. DKIM. - desbest


Ik onderschrijf de reeds gegeven antwoorden over SPF (+1, elk van jullie!) Maar houd er rekening mee dat als je besluit om deze kant op te gaan - en het is een goede manier - er is geen punt door het te doen tenzij je identificeert en adverteert allemaal hosts die zijn goedgekeurd voor het verzenden van e-mail voor uw domein en hard-disallow alle anderen met -all.

Niet alleen zal ?all en ~all niet het gewenste effect hebben, maar sommige e-mailbeheerders op SF beschouwen ze als een teken van een positief spammeldingsdomein.


35
2017-08-08 14:48



De richtlijnen van Google voor het maken van een SPF-ingang voor domeinen die Google Apps gebruiken om e-mail te verzenden: "Het publiceren van een SPF-record die -all in plaats van ~ allemaal gebruikt, kan leveringsproblemen veroorzaken." - Ariel
Ja, dat kan, dat is het hele punt ervan. Zolang u de hosts die legitiem uw e-mail mogen verzenden volledig heeft opgesomd, je wilt dat alle andere hosts bezorgproblemen hebben; de problemen zullen je alleen beïnvloeden als je dat hebt gedaan mislukt om al uw geldige verzendende hosts op te noemen, en dat is waar Google naar verwijst. Zie Chris S's commentaar op serverfault.com/questions/374452/... voor een voorbeeld van een admin die tegen nutteloos (ontbrekend a -all) SPF-records. - MadHatter
Maar als je gebruikt -all, iedereen die gebruikt mail doorsturen zal de e-mail niet ontvangen. Ik geloof dat mensen nog steeds mail doorsturen gebruiken (of ze het zouden moeten gebruiken is een andere vraag) - netvope
Je hebt helemaal gelijk, maar dat is waarvoor SRS (Sender Rewriting System) is bedoeld. Ik zou zeggen dat het duidelijk moet zijn dat SPF en eenvoudige (niet-SRS) doorsturen elkaar wederzijds uitsluiten en dat beheerders er maar één moeten kiezen, niet dat je nog steeds SPF kunt gebruiken naast eenvoudig doorsturen als je alleen maar verandert -all naar bijvoorbeeld ~all. Dat is in wezen helemaal geen gebruik van SPF. - MadHatter
Mail-beheerders kunnen gebruiken -all, maar elke gedeelde host bevat tegenwoordig e-mail. Een regelrechte mislukking wordt beschouwd als een misconfiguratie die niet serieus moet worden genomen terwijl een softfail is. Daarom is na het analyseren van tonnen spam en SPF-gebruik de standaard SPF_SOFTFAIL-score van SpamAssassins hoger dan de standaard SPF_FAIL. Wat is precies het probleem met DMARC? Als uw mailinglijsten worden beïnvloed door een DMARC-beleid, zijn uw e-mailontploffingen niet correct geconfigureerd. Het biedt meer controle over uw SPF en geeft feedbackverslagen. Vertel je alle Yahoo-gebruikers dat ze je bulkmail niet zullen ontvangen? - J.Money


Sender Policy Framework (SPF) kan helpen. Het is een e-mail validatiesysteem dat is ontworpen om e-mail spam te voorkomen door de IP-adressen van afzenders te verifiëren. Met SPF kunnen beheerders opgeven welke hosts e-mail mogen verzenden vanuit een bepaald domein door een specifieke SPF-record (of TXT-record) te maken in het Domain Name System (DNS). E-mailuitwisselaars gebruiken de DNS om te controleren of e-mail van een bepaald domein wordt verzonden door een host die door de beheerders van dat domein is gesanctioneerd.


20
2017-08-08 14:22





Het lijkt er niet op dat een SPF zou hebben geholpen in dit specifieke voorbeeld. Een machine die de moeite nam om SPF-records te controleren om e-mail te weigeren, is waarschijnlijk niet zo kapot dat e-mail wordt geaccepteerd voor een niet-bestaand domein, en besluit vervolgens dat het niet kan worden bezorgd en het bounce-bericht kan genereren. Als mail-gw01.fsdata.se, het apparaat dat e-mail voor whao.se accepteert, het correct heeft teruggestuurd, zou uw bounce-bericht afkomstig zijn van een Google SMTP-server.

Helaas is dit soort gebroken gedrag (accepteren en later genereren van een bounce) niet ongewoon. Er is niets dat u kunt doen om te voorkomen dat een willekeurige machine beweert een bericht te hebben ontvangen van uw domein. Er is ook niets dat je kunt doen aan uitgestelde bounces.

Je kunt echter minder van deze terugslagbots krijgen om te lezen. Als 7E949BA geen echte gebruiker is op itaccess.org, zoals ik vermoed dat het dat niet is, krijgt u het bounce-bericht omdat u uw verzameladres hebt ingeschakeld. Een catch-all betekent dat uw domein e-mail accepteert voor elke niet-bestaande gebruiker en deze aan u bezorgt. Dit is vooral een goede manier om uw verzameling spam- en stuitermeldingen te vergroten. In Google Apps kunt u uw catch-all configureren onder 'Beheer dit domein' -> Instellingen -> E-mail, ongeveer halverwege.


5
2017-08-09 01:22





Een nog niet genoemd idee is om de terugverstrooiing te verwerpen. Alles wat ik heb gezien, komt via open e-mailrelais en er zijn twee Blackhole-lijsten die u mogelijk handig vindt om de hoeveelheid terugverstrooiing die u ontvangt te verminderen.

  • Backscatterer is een DNSBL die expliciet SMTP-servers vermeldt die terugroepingen en afzenders van afzenders verzenden.

  • RFC-Onwetend is een DNSBL die SMTP-servers vermeldt die niet voldoen aan verschillende belangrijke RFC's.

Door deze toe te voegen (samen met verschillende andere, meer traditioneel gefocuste BL's) werd de hoeveelheid terugverstrooiing die ik ontvang met meer dan 90% verminderd.


3
2017-08-09 16:31





Waar je naar verwijst is eigenlijk een BACKSCATTER-aanval. Wat het nu eigenlijk is, is al ruim boven uitgelegd.

Hoe het op te lossen?

Backscatter kan worden voorkomen met zelf gehoste oplossingen zoals Postfix, qmail en exim enz., Maar niet met googleapps, omdat het populair is omdat er geen bescherming aanwezig is voor het omgaan met backscatter, behalve alleen SPF-records.


3
2017-08-08 20:53





Zoals de andere antwoorden al hebben genoemd, ontvang je een reactie op de e-mails van iemand anders. SpamCop heeft eerder deze spam niet genoemd, maar tegenwoordig accepteert het rapporten hiervoor. Bijv. Ik heb het bericht dat je hebt gecopieerd (en ik heb mijn Gmail-account toegevoegd om mijn mailhosts te bepalen) gekopieerd en gekregen dit resultaat (die ik heb geannuleerd).

Samengevat kunt u SpamCop gebruiken om de afzenders van deze bounces te rapporteren. Het stopt niet (direct) de initiatiefnemers van het probleem, maar het kan deze bounces verminderen.


0
2017-08-09 05:10





Het mailsysteem vertrouwt op From: headers, die heel gemakkelijk te spoofen zijn.

Bijvoorbeeld deze PHP-code:

mail('someone@live.com', 'Your new Outlook alias is ready to go', 'Ha ha! This is spoofed!', "From: Outlook Team<member_services@live.com>\r\n");

stuurt een e-mail naar someone@live.com zich voordoen als het Outlook-team.


-1
2017-08-08 22:19



Nee, het is afhankelijk van de afzender van de SMTP "envelop" (en ook van de ontvangers) (degenen die zijn verzonden in de MAIL FROM commando), wat compleet anders kan zijn dan de From: header. - derobert
@derobert Oké, dat wist ik niet. Bedankt! - uınbɐɥs
Ga je gang en bewerk je bericht om het te corrigeren ... dat is een van de vele aangemoedigde redenen om de link bewerken te gebruiken. - derobert