Desde hace dos semanas, Spamhaus siguió poniendo nuestra dirección IP en la lista negra de CSS; teníamos pocas cosas que corregir de la guía, por lo que nos eliminamos de la lista varias veces después de verificar todos los requisitos.
Ahora, después de 3 veces, crearon un ticket para nuestro caso y afirman que nuestra respuesta de helicóptero es un host local:
Entonces algo más está pasando:
(IP, marca de tiempo UTC, valor HELO) 188.39.** 2023-05-30 18:40:00 localhost.localdomain 188.39.** 2023-05-30 07:35:00 localhost.localdomain 188.39.** 2023-05 -28 07:05:00 localhost.localdomain 188.39.** 2023-05-27 22:05:00 localhost.localdomain 188.39.** 2023-05-27 17:05:00 localhost.localdomain
Tenga en cuenta que el de arriba está después de su mensaje afirmando que HELO es correcto.
Cada vez que nos ponen en la lista negra, verificamos nuestra respuesta de helicóptero enviando un correo electrónico a[correo electrónico protegido]y la respuesta fue el FQDN adecuado con sintaxis válida; no hay errores aquí.
¿Existe alguna forma de que puedan obtener la respuesta localhost.localdomain de nuestra IP? ¿Cómo prueban la respuesta HELO? ¿Podría ser un firewall enviando HELO?
Agradecería cualquier ayuda, gracias
Respuesta1
Si su Mdaemon está configurado correctamente (verifique también los dominios secundarios), es posible que algo más esté usando la misma dirección IP pública.
Un escenario común para esto es cuando tienes una única dirección IPv4 pública en tu enrutador y obtienes NAT todo a través de ella. De esa manera, una fuente de spam dentro de su red no se puede distinguir de su MTA desde el exterior.
Necesitas hacerlo
- separar el tráfico de clientes salientes de su agente de correo mediante el uso de múltiples direcciones IP públicas, o
- denegar SMTP saliente de sus clientes. Está bien permitir SMTP/MSA saliente al puerto 587 (no se puede usar para enviar spam) o al puerto 465 para SMTPS (principalmente solo MSA autenticado), pero no al puerto 25, al menos no a servidores arbitrarios.
La opción 2 es muy recomendable ya que no sólo evita que su MTA esté en la lista negra, sino también que el resto del mundo reciba spam desde su red.
También es una buena idea dar la alarma cuando un cliente privado intenta conectarse al puerto 25: o es alguien que intenta eludir su sistema de correo o un intruso que utiliza un cliente infectado.