Recibí un correo electrónico fraudulento de zcsend.net. Esta vez la dirección del remitente es falsa. Necesito usar Fail2Ban para prohibir mensajes del mismo origen. Sin embargo, hay muchas direcciones aquí en los encabezados. ¿Cuál debería prohibir?
Return-Path: <[email protected]>
Delivered-To: [email protected]
Received: from mail.elcolie.com
by mail.elcolie.com with LMTP
id CQu1FWy08mQ8UwEA83h3bQ
(envelope-from <[email protected]>)
for <[email protected]>; Sat, 02 Sep 2023 04:05:00 +0000
Received: from localhost (localhost [127.0.0.1])
by mail.elcolie.com (Postfix) with ESMTP id 4F41E835F9
for <[email protected]>; Sat, 2 Sep 2023 04:05:00 +0000 (UTC)
Received-SPF: Pass (mailfrom) identity=mailfrom; client-ip=135.84.81.239; helo=sender-239.fsu3.zcsend.net; envelope-from=bounce_826278108+a.1ffd60557f594e44_gm1@mail18.psnd.zcsend.net; receiver=<UNKNOWN>
Authentication-Results: mail.elcolie.com; dmarc=none (p=none dis=none) header.from=ahrdigital.com.br
Authentication-Results: mail.elcolie.com;
dkim=pass (1024-bit key; unprotected) header.d=mail18.psnd.zcsend.net [email protected] header.a=rsa-sha256 header.s=k1 header.b=mfuyyvvw;
dkim-atps=neutral
Received: from sender-239.fsu3.zcsend.net (sender-239.fsu3.zcsend.net [135.84.81.239])
by mail.elcolie.com (Postfix) with ESMTPS id 4A931833FE
for <[email protected]>; Sat, 2 Sep 2023 04:04:59 +0000 (UTC)
Received: from 172.30.236.109 by sender-239.fsu3.zcsend.net
with SMTP id 169362748867145850; Fri, 01 Sep 2023 21:04:48 -0700
DKIM-Signature: a=rsa-sha256; b=mfuyyvvwcocf77Gr4eWhg010x1Vak0knteAbKgX+PiHKD2TdnhfbGOZHCItAcuEJSjZN2UGRM/dQMzI9WfytdauyhtACpvDVf+uIn6qRmlNkOn140NbFVuYPDUABu1IBCr6wEwXR2pLevy7Zz1vFWUEuRck+70wzVwMjrj7+yvE=; c=simple/simple; s=k1; d=mail18.psnd.zcsend.net; v=1; bh=LMN9EQQS8smfom6q8kw8Y3zjTellj/Oo1rnIjeRT56c=; h=date:from:to:message-id:subject:mime-version:content-type:list-unsubscribe:list-unsubscribe-post:x-csa-complaints;
Date: Fri, 1 Sep 2023 21:04:48 -0700 (PDT)
From: "Parcel Team" <[email protected]>
To: [email protected]
Message-ID: <zcb.3za2ac949e760ea75599504c608f73642fe6611a47f75af214445fe34174e0169d.1ffd60557f594e44.1693627488661@mail18.psnd.zcsend.net>
Subject: =?UTF-8?B?Tm90aWZpY2F0aW9uOsKgIENhc2UgTnVtYmVyICMzMzYxNzI=?=
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_Part_8830362_773276248.1693627488657"
List-Unsubscribe: <https://vldxa-cmpzourl.maillist-manage.com/ua/optout?od=3za2ac949e760ea75599504c608f73642fe6611a47f75af214445fe34174e0169d&rd=1ffd60557f594e44&sd=1ffd60557f57b0ef&n=11699e4c32dbb4c>,<mailto:[email protected]>
List-Unsubscribe-Post: List-Unsubscribe=One-Click
X-CSA-Complaints: [email protected]
Reply-To: [email protected]
X-JID: 3za2ac949e760ea75599504c608f73642fe6611a47f75af214445fe34174e0169d.1ffd60557f3f24e4
X-campaignid: zohocampaigns.3za2ac949e760ea75599504c608f73642fe6611a47f75af214445fe34174e0169d.zcb.1ffd60557f594e44.11699e4c32dbb4c
X-Zoho-RID: zohocampaigns.3za2ac949e760ea75599504c608f73642fe6611a47f75af214445fe34174e0169d.zcb.1ffd60557f594e44.11699e4c32dbb4c
X-Report-Abuse: <Please send a copy of this message along with header to abuse+3za2ac949e760ea75599504c608f73642fe6611a47f75af214445fe34174e0169d_zcb_1ffd60557f594e44@zohocampaigns.com>, <https://vldxa-cmpzourl.maillist-manage.com/campaigns/ReportAbuse.zc?od=3za2ac949e760ea75599504c608f73642fe6611a47f75af214445fe34174e0169d&rd=1ffd60557f594e44&sd=1ffd60557f57b0ef&n=11699e4c32dbb4c>
------=_Part_8830362_773276248.1693627488657
Content-Type: text/plain;charset="UTF-8"
Content-Transfer-Encoding: quoted-printable
He reemplazado mi dirección de correo electrónico real con[email protected]
Dado que mi servidor de correo electrónico está utilizandohttps://github.com/docker-mailserver/docker-mailserver
simplemente corro
docker exec 2834fea5aa2e setup fail2ban ban 135.84.81.239
Preguntas:
- ¿Encontré la dirección IP correcta?
- ¿Lo estoy bloqueando correctamente?
- ¿Me estoy perdiendo algo?
Respuesta1
Encontrar la dirección IP correcta
Cadaagente de transferencia de mensajes(MTA) al procesar el correo electrónico agrega encabezados en la parte superior del mensaje, por lo que están en orden descendente; los superiores son los más nuevos. Para encontrar la dirección IP, debe buscar el Receivedencabezado donde su servidor aceptó el correo electrónico por primera vez.
Received: from sender-239.fsu3.zcsend.net (sender-239.fsu3.zcsend.net [135.84.81.239])
by mail.elcolie.com (Postfix) with ESMTPS id 4A931833FE
for <[email protected]>; Sat, 2 Sep 2023 04:04:59 +0000 (UTC)
Aquí, la primera dirección después de fromes el HELOnombre de host del servidor en el que no se debe confiar. La dirección IP y el nombre de host ( PTR) asociado a ella están entre paréntesis.
Por lo tanto, 135.84.81.239está la dirección IP que estaba buscando. Sin embargo, hay más en esto...
Fail2Ban no está diseñado para esto
Por que lo hariasnecesidadutilizar Fail2Ban?Fail2Ban(1)No es para bloquear spam, pero...
un conjunto de programas de servidor y cliente para limitar los intentos de autenticación por fuerza bruta.
DNSListas de agujeros negros en tiempo real(RBL)
La dirección IP del ejemplo, 135.84.81.239actualmente está en la lista negra delistas de agujeros negros en tiempo real(RBL):
- SpamCopLista de bloqueo (
bl.spamcop.net) - Filtro de correo electrónico no deseado.comAnfitriónKarma (
hostkarma.junkemailfilter.com)
En lugar de bloquear direcciones IP individuales cada vez que llega un spam, podría utilizar algunos servicios externos que ya lo están haciendo a gran escala. Además, la mayoría eliminará la lista cuando se haya resuelto el problema.
Hay muchos proveedores de RBL que tienen diferentes tipos de listados. Debes analizar cuáles de estas listas son las adecuadas para tus necesidades. P.ej,
- Spamhaus
- lista de bloqueo.de
- SpamComerMono
- SORBAS(Sistema de bloqueo de spam y retransmisión abierta)
- Barracuda
- dan.me.uk(especializado en bloquear nodos Tor)
Configurar RBL en Postfix
Tus encabezados muestran que estás usando Postfix. Puede configurar, por ejemplo, SpamCop en su main.cfagregando unreject_rbl_clientensmtpd_recipient_restrictionsdonde se evaluará después del full HELO, MAIL FROM& RCPT TO.
smtpd_recipient_restrictions =
. . .
reject_rbl_client bl.spamcop.net,
. . .
permit
Respuesta2
Poner en la lista negra un único servidor Zoho no servirá de mucho. Tienen algunos más.
Si desea prohibir sus servidores en total, hágalo por dominio de host zcsend.neto porsobreDE @(.*).psnd.zcsend.net>.
Si no quieres prohibirlos por completo, todo lo que te queda es una queja.
Por supuesto, también puedes intentar filtrar porencabezamientoFROM pero eso se puede falsificar con demasiada facilidad.