desde duas semanas atrás, a spamhaus continuou colocando nosso endereço IP na lista negra de CSS - tivemos poucas coisas para corrigir nas diretrizes, então nos retiramos da lista algumas vezes depois de verificar todos os requisitos.
Agora, depois de 3 vezes, eles criaram um ticket para o nosso caso e afirmam que nossa resposta helo é um host local:
Então algo mais está acontecendo:
(IP, carimbo de data/hora UTC, valor HELO) 188.39.** 2023-05-30 18:40:00 localhost.localdomain 188.39.** 2023-05-30 07:35:00 localhost.localdomain 188.39.** 2023-05 -28 07:05:00 localhost.localdomain 188.39.** 2023-05-27 22:05:00 localhost.localdomain 188.39.** 2023-05-27 17:05:00 localhost.localdomain
Observe que o primeiro é depois da sua mensagem afirmando que o HELO está correto.
Cada vez que entramos na lista negra, verificamos nossa resposta do helicóptero enviando um e-mail para[e-mail protegido]e a resposta foi FQDN adequada com sintaxe válida - nenhum erro aqui.
Existe alguma maneira de eles obterem a resposta localhost.localdomain do nosso IP? Como eles testam a resposta HELO, poderia ser o firewall enviando HELO?
Eu apreciaria qualquer ajuda, obrigado
Responder1
Se o seu Mdaemon estiver configurado corretamente (verifique também os domínios secundários), então algo mais pode estar usando o mesmo endereço IP público.
Um cenário comum para isso é quando você tem um único endereço IPv4 público em seu roteador e fornece NAT por meio dele. Dessa forma, uma fonte de spam dentro da sua rede é indistinguível do seu MTA externo.
Você precisa também
- separar o tráfego de saída do cliente do seu agente de e-mail usando vários endereços IP públicos ou
- negue SMTP de saída de seus clientes. Não há problema em permitir SMTP/MSA de saída para a porta 587 (não pode ser usado para spam) ou para a porta 465 para SMTPS (principalmente apenas MSA autenticado), mas não para a porta 25, pelo menos não para servidores arbitrários.
A opção 2 é altamente recomendada, pois você não apenas evita que seu MTA seja colocado na lista negra, mas também que o resto do mundo receba spam de sua rede.
Também é uma boa ideia disparar um alarme quando um cliente privado tenta se conectar à porta 25: é alguém tentando contornar seu sistema de e-mail ou um intruso usando um cliente infectado.