10

自从它发布以来,我一直在使用 Google Apps FYD 进行stackednotion.com. 我发送的所有电子邮件都通过 Google 的服务器,我使用 Gmail 查看我的电子邮件。我以前没有遇到过任何问题,但最近我看到奇怪的反弹最终出现在全能账户中。看起来有人在使用我的域发送垃圾邮件。我真的不希望我的域被标记为坏名声,那么我该如何阻止呢?

我按照 Google Apps 上的指南在域上设置了 SPF、DMARC 和 DKIM,这是我的区域文件:

; stackednotion.com [9548]
$TTL 86400
@   IN  SOA ns1.linode.com. luca.stackednotion.com. 2012072633 7200 7200 1209600 86400
@       NS  ns1.linode.com.
@       NS  ns2.linode.com.
@       NS  ns3.linode.com.
@       NS  ns4.linode.com.
@       NS  ns5.linode.com.
@           MX  1   ASPMX.L.GOOGLE.COM.
@           MX  5   ALT1.ASPMX.L.GOOGLE.COM.
@           MX  5   ALT2.ASPMX.L.GOOGLE.COM.
@           MX  10  ASPMX2.GOOGLEMAIL.COM.
@           MX  10  ASPMX3.GOOGLEMAIL.COM.
@           MX  30  ASPMX4.GOOGLEMAIL.COM.
@           MX  30  ASPMX5.GOOGLEMAIL.COM.
@           TXT "v=spf1 include:_spf.google.com ~all"
google._domainkey           TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDi19ipSdqDEpnJEWrVF7MarSLnlzXi0wPOHws2BY6oMQInbY5OHzdw9LcFr1biVvipErm4odyJfjZAIp5s8r6z50ZxQdW5Uwdy9krA1A9HMPaqVN+fm2xpntU//uXn0wD8sGc9CljYQIl+MusxQ690PfVGnAz/QeLqaZFxpHHmmQIDAQAB"
_dmarc          TXT "v=DMARC1; p=quarantine; rua=mailto:dmarc@stackednotion.com"
@           A   178.79.164.64
*           A   178.79.164.64
_xmpp-server._tcp       SRV 5 0 5269 xmpp-server.l.google.com.
_xmpp-server._tcp       SRV 20 0 5269 alt1.xmpp-server.l.google.com.

这里还有垃圾邮件的标题(有人试图订阅我到 Zend 邮件列表,他们是什么样的病人?!?):

Return-Path: <F776387@stackednotion.com>
Received: (qmail 20117 invoked from network); 27 Jul 2012 06:51:01 -0000
Received: from exprod7mx200.postini.com (HELO psmtp.com) (64.18.2.92)
  by rsmx2.zend.com with SMTP; 27 Jul 2012 06:51:01 -0000
Received: from source ([188.51.41.223]) by exprod7mx200.postini.com ([64.18.6.13]) with SMTP;
        Fri, 27 Jul 2012 02:51:00 EDT
To: <fw-docs-subscribe@lists.zend.com>
Subject: Invoice #48469883494
From: "Order" <F776387@stackednotion.com>
Date: Sat, 28 Jul 2012 09:40:03 +0300
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: IPS PHP Mailer
MIME-Version: 1.0
Content-type: text/plain; charset="iso-8859-1"
Content-Transfer-Encoding: 8bit
Message-ID: <20120728094003.9312B884F9D66F02CE7C@DELL-PC>
X-pstn-neptune: 500/484/0.97/100
X-pstn-levels:     (S: 0.00346/89.11253 CV:99.9000 FC:95.5390 LC:95.5390 R:95.9108 P:95.9108 M:97.0282 C:98.6951 )
X-pstn-dkim: 0 skipp
4

4 回答 4

13

目前,减少不法分子据称从您的域发送垃圾邮件的方法是通知其他邮件服务器允许哪些服务器代表您的域发送邮件。机制是SPF,您已经有 SPF 记录:

TXT "v=spf1 include:_spf.google.com ~all"

如果您希望阻止伪造尝试,则可以对此进行改进。阅读SPF 记录语法页面,该页面描述了您的 SPF 策略应该是什么。如果您有其他邮件服务器代表您的域发送邮件,请将它们添加到 SPF 记录并将您的策略​​更改为失败:

TXT "v=spf1 include:_spf.google.com -all"

由于 SPF 部署如此广泛,这将产生影响。但是 SPF 存在 SPF 策略失败的边缘情况(转发、电子邮件列表等),因此大多数站点选择比您要求的更自由的 SPF 策略。例如,如果您的策略设置为拒绝,并且消息似乎来自电子邮件列表,大多数服务器都会以某种方式对其进行注释(为此目的定义了Authentication-Results 标头)并允许它通过。

这就是DMARC的用武之地。您已经添加了 DMARC 记录:

_dmarc TXT "v=DMARC1; p=quarantine; rua=mailto:dmarc@stackednotion.com"

您的政策只是隔离失败的 DMARC 邮件。如果 DMARC 报告没有表明任何有效消息被阻止,并且/或者您愿意忍受一些有效消息被拒绝的极端情况,那么您可以使用 p=reject 对此进行改进。

毫不奇怪,由于垃圾邮件声称来自我的域之一而从邮件服务器退回,这正是迫使我开始DKIM对我的邮件进行签名的原因,以便我可以部署 DMARC。DMARC 是一种结合了 SPF 和 DKIM 的策略机制,因此域所有者可以向其他邮件服务器断言,“如果它不在此 IP 列表 (SPF) 中并且它没有经过 DKIM 签名,那么 [reject|quarantine|allow] 它。”

DMARC 工作出色。现在我收到 DMARC 报告,而不是收到退回邮件。我使用Mail::DMARC解析报告并将摘要放入数据库。

DMARC 仍是 IETF 草案,并未广泛部署。但是,大多数大型电子邮件提供商都实施了它,并且覆盖范围非常好。在为我的域部署 DMARC 后,我为Qpsmtpd编写了一个 DMARC 插件,因此我可以根据 DMARC 策略验证传入消息。作为 DMARC 操作员,我在DMARC 常见问题解答中发表了我的一些发现。

我之前提到了边缘情况,所以我觉得有必要分享一个。

Google 通过将未对齐的邮件(SPF 和 DKIM 对齐失败的邮件)放入用户垃圾邮件文件夹来处理它们。我已经熟悉这一点,因为从我的域发送的电子邮件通常会被 gmail 很好地处理。通过某些电子邮件列表(例如 dmarc-discuss@dmarc.org)转发的消息除外。我发送到该列表的消息被列表处理软件修改,使我的 DKIM 签名无效。当邮件转发给 gmail 收件人时,这些邮件被标记为垃圾邮件,因为 a) 我发布了拒绝 DMARC 策略,b) 该电子邮件列表不是来自 tnpi.net 的电子邮件的有效 SPF 发件人,以及 c)带有我的域的 DKIM 签名验证失败。

除了修复列表软件之外,还有一些解决方法,例如将有问题的邮件列表服务器添加到我的 SPF 记录中。一些 DMARC 实现会检测来自邮件列表的邮件并降低策略严重性(即,Google 隔离我的列表邮件而不是拒绝)。

目前,没有比实施良好的 DMARC 策略更好的方法来抑制使用您的域的网络钓鱼和欺骗尝试。

于 2013-05-01T19:49:31.610 回答
2

在过去的几周里,我也注意到这种欺骗行为有所增加。

有关此问题的Google 支持页面指出:

“由于这些邮件来自 Gmail 之外,我们无法阻止垃圾邮件发送者欺骗您的地址。但是,Google 通过设计我们的系统来验证真正来自您的所有邮件,从而帮助保护您的 Gmail 地址的声誉。当另一个域收到来自 Gmail 的未经身份验证的邮件,它可以表明您并没有真正发送邮件,并且您的电子邮件地址不太可能被阻止。就我们而言,我们担心欺骗和退回邮件。我们要求您报告这些邮件通过选中不需要的邮件旁边的框并单击收件箱顶部的报告垃圾邮件,或者打开邮件并单击邮件顶部的报告垃圾邮件。”

“您还可以通过 spam@uce.gov 将这些非法邮件的完整标头发送给联邦贸易委员会来帮助阻止垃圾邮件发送者。”

于 2012-08-26T13:30:38.953 回答
1

Afaik,据说 DMARC 将帮助您实现这一目标。根据有关 DMARC 的 Google Apps 文章,您应该开始使用“保守部署周期”,例如:

Monitor all.
Quarantine 1%.
Quarantine 5%.
Quarantine 10%.
Quarantine 25%.
Quarantine 50%.
Quarantine all.
Reject 1%.
Reject 5%.
Reject 10%.
Reject 25%.
Reject 50%.
Reject all.

所以,我的建议是停止隔离电子邮件,监控一段时间,然后开始上升。

于 2012-10-07T20:17:31.683 回答
0

您的邮件可能会被退回。因此,如果您在发送邮件的同一帐户上接收邮件。尝试更改数据库中域控制管理员的权限。

于 2017-04-08T11:20:08.760 回答