LINUX.ORG.RU
ФорумAdmin

Чужой почтовый сервер шлёт письма от имени нашего домена


0

1

У нас имеется домен domain.com. Для него существуют A запись:

$ nslookup -q=A domain.com 8.8.8.8
Server:		8.8.8.8
Address:	8.8.8.8#53

Non-authoritative answer:
Name:	domain.com
Address: 11.22.33.44

и MX-запись:

$ nslookup -q=MX domain.com 8.8.8.8
Server:		8.8.8.8
Address:	8.8.8.8#53

Non-authoritative answer:
domain.com	mail exchanger = 10 mx.domain.com.

Authoritative answers can be found from:

$ nslookup -q=A mx.domain.com 8.8.8.8
Server:		8.8.8.8
Address:	8.8.8.8#53

Non-authoritative answer:
Name:	mx.domain.com
Address: 11.22.33.44

Настроена обратная запись для IP:

$ nslookup -q=PTR 11.22.33.44 8.8.8.8
Server:		8.8.8.8
Address:	8.8.8.8#53

Non-authoritative answer:
44.33.22.11.in-addr.arpa	name = mx.domain.com.

Authoritative answers can be found from:

Настроены SPF и DKIM:

$ nslookup -q=TXT domain.com 8.8.8.8
Server:		8.8.8.8
Address:	8.8.8.8#53

Non-authoritative answer:
domain.com	text = "v=spf1 +mx -all"

Authoritative answers can be found from:
nslookup -q=TXT default._domainkey.domain.com 8.8.8.8
Server:		8.8.8.8
Address:	8.8.8.8#53

Non-authoritative answer:
default._domainkey.domain.com	text = "v=DKIM1\; k=rsa\; t=y\; p=MIGdHA6GSCqdR1PQBP2fp15XeeKThBFr1unKcVEg6sBMU/8Mtsm3RNLBOqnzMeCBbVN1VUaJ4qVMACfYijOGRgNsirleWxGnavmohn965It2su5E2EHWCGHm3EFbfvCHwhraBNIio9aDOHkpeuk7TU5e1jhULme9w0tuihdo0xoqZi5aQhvCr9cOCVZgnvnwoV6uoctxr5fFyDiOJ0FlEkD8l3o0CNRDJPy"

Authoritative answers can be found from:

Тем не менее, какой-то левый сервак начал рассылать от нашего имени вредоносные письма. Я попробовал так же с левого сервака отправлять от нашего имени письма на подконтрольные мне ящики из популярных доменов, типа mail.ru, yandex.ru и пр. И во всех случаях письма попадают в спам. Однако, многие владельцы собственных почтовых серверов получают такие письма во входящие.

Вот заголовки вредоносных писем. IP реальные, адреса получателя и отправителя изменены:

Return-Path: <it@domain.com>
X-Spam-Status: No, hits=0.8 required=10.0
tests=BAYES_00: -1.665,EXTRA_MPART_TYPE: 1,HTML_IMAGE_ONLY_20: 1.546,
HTML_MESSAGE: 0.001,TOTAL_SCORE: 0.882,autolearn=no
X-Spam-Level: 
Received: from mail.pr-lg.ru ([193.105.37.96])
by mail.recipient.ru (Kerio Connect 7.4.3)
for r@recipient.ru;
Mon, 13 Oct 2014 04:43:09 +0400
Received: from gbergbetgbetrbergb (unknown [78.46.243.247])
by mail.pr-lg.ru (Postfix) with ESMTPA id 1A888EAB55
for <r@recipient.ru>; Mon, 13 Oct 2014 04:45:33 +0400 (GMT-4)
Message-ID: <2FD59C30934769FA26236AD7339678C0@gbergbetgbetrbergb>
Reply-To: =?koi8-r?B?5sXExdLBzNjOwdEg88zV1sLBIPPVxMXCztnIIPDSydPU?=
=?koi8-r?B?wdfP1w==?= <vkumskasu@mail.ru>
From: =?koi8-r?B?5sXExdLBzNjOwdEg88zV1sLBIPPVxMXCztnIIPDSydPU?=
=?koi8-r?B?wdfP1w==?= <it@domain.com>
To: <r@recipient.ru>

Что в таком случае можно щё предпринять, чтобы уверить принимающий сервер, что письма не наши?

Каким образом к таким атакам устойчивы сервисы mail.ru, yandex.ru? Ведь у них тоже только SPF и DKIM. Большего я не нашёл

Политику приёма почты для DKIM надо задать строгую, тогда письма без валидной подписи вообще не будут приниматься нормальными почтовиками.
Ни в спам, ни вообще никуда.

Вот тут начни читать:
http://www.dkim.org/specs/draft-ietf-dkim-ssp-04.html

Goury ★★★★★ ()
Последнее исправление: Goury (всего исправлений: 1)

Что в таком случае можно щё предпринять, чтобы уверить принимающий сервер, что письма не наши ?

Ничего, если принимающий сервер никак не проверяет spf или domainkey. Тут только жаловаться тому провайдеру, у кого стоит отправляющий сервер.

AS ★★★★★ ()
Ответ на: комментарий от AS

Не ври, и маилра и гугель и ёндекс смотрят на дким очень внимательно.

Goury ★★★★★ ()
Последнее исправление: Goury (всего исправлений: 1)
Ответ на: комментарий от Goury

Не ври,

Не вру. Объясни тогда, как. :-)

и маилра и гугель и ёндекс смотрят на дким очень внимательно.

Сервера для нищебродов не интересуют, это раз, на них свет клином не сошёлся - это два.

AS ★★★★★ ()
Ответ на: комментарий от AS

Объясни тогда, как

ADSP

А если у кого-либо почтовик при приёме не проверяет ADSP, то можно на такого получателя смело насрать — у него и так будет миллиард спама в день в каждом ящике.

Goury ★★★★★ ()
Ответ на: комментарий от Goury

Спасибо за статью! Счас изучу. У меня, как раз, в плане DKIM и были сомнения, потому как политики у меня вроде как никакой не установлено.

abr_linux ()
Ответ на: комментарий от Goury

DKIM и SPF - это говно чуть менее, чем полное. Так, на всякий случай. Всегда должна быть возможность отправить сообщение через ближайший сервер текущего провайдера, а не ломится через пол-шарика на какой-то сервер за 20 хопов. То есть, в нормальном случае, применимость и DKIM, и SPF сомнительна. Сам вот посмотри, на сколько часто встречаются жёсткие политики.

AS ★★★★★ ()
Ответ на: комментарий от AS

DKIM и SPF - это говно

+1

в нормальном случае, применимость и DKIM, и SPF сомнительна

жестоко плюсую

vxzvxz ★★★ ()
Ответ на: комментарий от AS

Говно это то, что в головах у людей, которые пишут такую чушь на лоре.

Всегда должна быть возможность отправить сообщение через ближайший сервер текущего провайдера.

Что тебе мешает подписать его локально ДКИМом и отправить хоть голубиной почтой, хоть пешим курьером?

Сам вот посмотри, на сколько часто

И чо, всем перейти на венду с аутглюком теперь?

Goury ★★★★★ ()
Ответ на: комментарий от Goury

Что тебе мешает подписать его локально ДКИМом

Что, каждый ? При каждом перемещении отправителя ? А не убьёшся дописывать каждый раз ?

И чо, всем перейти на венду с аутглюком теперь ?

Офигенно ты связь придумал. :-) Была интересная затея когда-то, mta mark называлась. Это вот было дело, правда, создало бы некоторую нагрузку на провайдеров (по учёту), но оно того стоило. http://tools.ietf.org/html/draft-stumpf-dns-mtamark-04

AS ★★★★★ ()
Последнее исправление: AS (всего исправлений: 2)

Кто к чему устойчив ? В поле from всю жизнь что угодно написать можно было.
А рассыльщиков этих посадить вполне можно, там школьники с дедиками поди балуются, мозгов - ноль, по нескольким статьям сразу пойдут.

handbrake ★★★ ()
Ответ на: комментарий от AS

А кнопку «написать письмо» каждый раз ты не убиваешься нажимать?
Хочешь подтверждать свою подлинность — подписывай. Хоть дкимом, хоть чем, вариантов много разных.

А не хочешь подтверждать — выключи дким и шли анонимки.
Только не возмущайся, когда кто-нибудь откажется принимать анонимку.

Goury ★★★★★ ()
Ответ на: комментарий от handbrake

Со момента введения нормальных политик сетевой безопасности там больше нельзя писать что угодно.
Нормальные сервера такие «что угодно» просто не принимают.

Goury ★★★★★ ()
Ответ на: комментарий от Goury

А не хочешь подтверждать — выключи дким и шли анонимки.

А я его и не включаю ввиду его бесполезности. Ещё раз повторяю, это всё имеет смысл исключительно в случае жёсткой привязки к серверу для отправки, что плохо само по себе.

AS ★★★★★ ()
Ответ на: комментарий от AS

Вот у меня есть дким, серверов для отправки много, а проблем никаких.
И почта моя приходит в 100% случаев.
А твоя — нет.

Goury ★★★★★ ()
Ответ на: комментарий от Goury

mx=mx.example.com
from:iamstupid@sales.mos.example.com
примешь или нет ?

а такое примешь ?
from:Вася пупкин-ваш любимый поставщик

handbrake ★★★ ()
Ответ на: комментарий от handbrake

Нет, лесом оба. Почту без тела только лохи принимают.

Goury ★★★★★ ()
Последнее исправление: Goury (всего исправлений: 1)
Ответ на: комментарий от Goury

А твоя — нет.

Куда надо, у меня тоже приходит в 100% случаев. А если какой-то идиот не принимает почту без DKIM/SPF - это его личные творческие неудачи.

AS ★★★★★ ()
Ответ на: комментарий от AS

Эм... Почему не принимает, про DKIM не скажу, но вот, про SPF - там можно же задать политику. Можно поставить ~ или - на твоё же усмотрение. Обычно правда все ставят ~

DALDON ★★★★★ ()
Ответ на: комментарий от DALDON

Обычно правда все ставят ~

Вот. И смысл ?

AS ★★★★★ ()
Ответ на: комментарий от AS

Ну чужие почтовики, если выполняется условие: ~ ,имеют полное право накинуть штрафных баллов к примеру?

DALDON ★★★★★ ()

Однако, многие владельцы собственных почтовых серверов получают такие письма во входящие.

Не знаю что тут за спор dkim vs spf развели, но при такой постановке вопроса ответ прост — очень жаль, но это не твои проблемы.

dmiceman ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.