로부터 사기 이메일을 받았습니다 zcsend.net. 이번에는 보낸 사람 주소가 위조되었습니다. 동일한 출처에서 보낸 메시지를 차단하려면 Fail2Ban을 사용해야 합니다. 그러나 여기 헤더에는 주소가 많이 있습니다. 어느 것을 금지해야 합니까?
Return-Path: <[email protected]>
Delivered-To: [email protected]
Received: from mail.elcolie.com
by mail.elcolie.com with LMTP
id CQu1FWy08mQ8UwEA83h3bQ
(envelope-from <[email protected]>)
for <[email protected]>; Sat, 02 Sep 2023 04:05:00 +0000
Received: from localhost (localhost [127.0.0.1])
by mail.elcolie.com (Postfix) with ESMTP id 4F41E835F9
for <[email protected]>; Sat, 2 Sep 2023 04:05:00 +0000 (UTC)
Received-SPF: Pass (mailfrom) identity=mailfrom; client-ip=135.84.81.239; helo=sender-239.fsu3.zcsend.net; envelope-from=bounce_826278108+a.1ffd60557f594e44_gm1@mail18.psnd.zcsend.net; receiver=<UNKNOWN>
Authentication-Results: mail.elcolie.com; dmarc=none (p=none dis=none) header.from=ahrdigital.com.br
Authentication-Results: mail.elcolie.com;
dkim=pass (1024-bit key; unprotected) header.d=mail18.psnd.zcsend.net [email protected] header.a=rsa-sha256 header.s=k1 header.b=mfuyyvvw;
dkim-atps=neutral
Received: from sender-239.fsu3.zcsend.net (sender-239.fsu3.zcsend.net [135.84.81.239])
by mail.elcolie.com (Postfix) with ESMTPS id 4A931833FE
for <[email protected]>; Sat, 2 Sep 2023 04:04:59 +0000 (UTC)
Received: from 172.30.236.109 by sender-239.fsu3.zcsend.net
with SMTP id 169362748867145850; Fri, 01 Sep 2023 21:04:48 -0700
DKIM-Signature: a=rsa-sha256; b=mfuyyvvwcocf77Gr4eWhg010x1Vak0knteAbKgX+PiHKD2TdnhfbGOZHCItAcuEJSjZN2UGRM/dQMzI9WfytdauyhtACpvDVf+uIn6qRmlNkOn140NbFVuYPDUABu1IBCr6wEwXR2pLevy7Zz1vFWUEuRck+70wzVwMjrj7+yvE=; c=simple/simple; s=k1; d=mail18.psnd.zcsend.net; v=1; bh=LMN9EQQS8smfom6q8kw8Y3zjTellj/Oo1rnIjeRT56c=; h=date:from:to:message-id:subject:mime-version:content-type:list-unsubscribe:list-unsubscribe-post:x-csa-complaints;
Date: Fri, 1 Sep 2023 21:04:48 -0700 (PDT)
From: "Parcel Team" <[email protected]>
To: [email protected]
Message-ID: <zcb.3za2ac949e760ea75599504c608f73642fe6611a47f75af214445fe34174e0169d.1ffd60557f594e44.1693627488661@mail18.psnd.zcsend.net>
Subject: =?UTF-8?B?Tm90aWZpY2F0aW9uOsKgIENhc2UgTnVtYmVyICMzMzYxNzI=?=
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_Part_8830362_773276248.1693627488657"
List-Unsubscribe: <https://vldxa-cmpzourl.maillist-manage.com/ua/optout?od=3za2ac949e760ea75599504c608f73642fe6611a47f75af214445fe34174e0169d&rd=1ffd60557f594e44&sd=1ffd60557f57b0ef&n=11699e4c32dbb4c>,<mailto:[email protected]>
List-Unsubscribe-Post: List-Unsubscribe=One-Click
X-CSA-Complaints: [email protected]
Reply-To: [email protected]
X-JID: 3za2ac949e760ea75599504c608f73642fe6611a47f75af214445fe34174e0169d.1ffd60557f3f24e4
X-campaignid: zohocampaigns.3za2ac949e760ea75599504c608f73642fe6611a47f75af214445fe34174e0169d.zcb.1ffd60557f594e44.11699e4c32dbb4c
X-Zoho-RID: zohocampaigns.3za2ac949e760ea75599504c608f73642fe6611a47f75af214445fe34174e0169d.zcb.1ffd60557f594e44.11699e4c32dbb4c
X-Report-Abuse: <Please send a copy of this message along with header to abuse+3za2ac949e760ea75599504c608f73642fe6611a47f75af214445fe34174e0169d_zcb_1ffd60557f594e44@zohocampaigns.com>, <https://vldxa-cmpzourl.maillist-manage.com/campaigns/ReportAbuse.zc?od=3za2ac949e760ea75599504c608f73642fe6611a47f75af214445fe34174e0169d&rd=1ffd60557f594e44&sd=1ffd60557f57b0ef&n=11699e4c32dbb4c>
------=_Part_8830362_773276248.1693627488657
Content-Type: text/plain;charset="UTF-8"
Content-Transfer-Encoding: quoted-printable
내 실제 이메일 주소를 다음으로 바꾸었습니다.[email protected]
내 이메일 서버가https://github.com/docker-mailserver/docker-mailserver
나는 그저 달린다
docker exec 2834fea5aa2e setup fail2ban ban 135.84.81.239
질문:
- 올바른 IP 주소를 찾았나요?
- 내가 제대로 차단하고 있는 걸까?
- 내가 놓친 게 있나요?
답변1
올바른 IP 주소 찾기
모든메시지 전송 에이전트(MTA) 이메일을 처리하면 메시지 상단에 헤더가 추가되므로 내림차순으로 정렬됩니다. 맨 위에 있는 것이 최신 것입니다. IP 주소를 찾으려면 Received서버가 처음 이메일을 수락한 헤더를 찾아야 합니다 .
Received: from sender-239.fsu3.zcsend.net (sender-239.fsu3.zcsend.net [135.84.81.239])
by mail.elcolie.com (Postfix) with ESMTPS id 4A931833FE
for <[email protected]>; Sat, 2 Sep 2023 04:04:59 +0000 (UTC)
여기서, 다음의 첫 번째 주소는 신뢰할 수 없는 서버의 호스트 이름 from입니다 . HELOIP 주소와 PTR이와 연결된 호스트 이름( )은 괄호 안에 표시됩니다.
따라서 135.84.81.239찾고 있던 IP 주소는 다음과 같습니다. 그러나 이것보다 더 많은 것이 있습니다 ...
Fail2Ban은 이를 위해 설계되지 않았습니다
왜 네가필요Fail2Ban을 사용하려면?Fail2Ban(1)스팸 차단용은 아니지만..
무차별 인증 시도를 제한하는 서버 및 클라이언트 프로그램 세트입니다.
DNS실시간 블랙홀 목록(RBL)
예제의 IP 주소는 135.84.81.239현재 블랙리스트에 등록되어 있습니다.실시간 블랙홀 목록(RBL):
- 스팸경찰차단 목록(
bl.spamcop.net) - JunkEmailFilter.com님의 HostKarma(
hostkarma.junkemailfilter.com)
스팸이 통과할 때마다 개별 IP 주소를 차단하는 대신 이미 대규모로 해당 작업을 수행하고 있는 일부 외부 서비스를 활용할 수 있습니다. 또한 문제가 해결되면 대부분 목록을 삭제합니다.
다양한 종류의 목록을 보유한 RBL 제공업체가 많이 있습니다. 이들 목록 중 어느 것이 귀하의 필요에 적합한지 분석해야 합니다. 예:
Postfix에서 RBL 구성
헤더에 Postfix를 사용하고 있음이 표시됩니다. 예를 들어 SpamCop을 main.cf추가하여 구성할 수 있습니다.reject_rbl_client~에smtpd_recipient_restrictionsHELO여기서는 full , MAIL FROM& 후에 평가됩니다 RCPT TO.
smtpd_recipient_restrictions =
. . .
reject_rbl_client bl.spamcop.net,
. . .
permit
답변2
단일 Zoho 서버를 블랙리스트에 올리는 것은 실제로 많은 일을 하지 않습니다. 몇 가지가 더 있어요.
서버를 전체적으로 금지하려면 호스트 도메인 zcsend.net이나봉투에서 @(.*).psnd.zcsend.net>.
완전히 금지하고 싶지 않다면 남은 것은 불만 사항뿐입니다.
물론 필터링을 시도해 볼 수도 있습니다.머리글FROM 그러나 그것은 너무 쉽게 스푸핑됩니다.