Мы используем Office 365 в качестве основного почтового провайдера. У нас есть внутренний почтовый сервер, который мы используем для ретрансляции таких вещей, как отчеты из нашей SSRS, сканирование в папку «Входящие» для старых сканеров и т. д. Это IIS SMTP на сервере 2008R2. Этот сервер не доступен через брандмауэр для какой-либо службы, и уж точно не SMTP, и имеет ограничение на подключение и ретрансляцию, ограниченное несколькими внутренними IP-адресами в нашей сети, которые используют его в качестве ретранслятора. Мы используем это, потому что не каждое устройство, которое мы используем, способно использовать службы Office 365 напрямую (мы некоммерческая организация, и некоторые из наших старых устройств действительно довольно старые), а также оборудование для управления процессами на нашем производстве, вещи, которые просто не позволяют использовать аутентифицированный/TLS SMTP, короче говоря, есть несколько важных удобств, которые эта система предоставляет локальной сети, и не должно быть никаких причин, по которым мы не могли бы использовать эти удобства. Мы приняли все меры предосторожности, у нас есть надлежащие записи DNS для сервера. У меня есть записи SPF, установленные для его IP, имя, которое сервер объявляет при доставке, преобразуется в его публичный IP. Все работало отлично более 1,5 лет (с момента перехода на Office 365) в этой конфигурации без проблем.
Вдруг в один прекрасный день вся почта, приходящая с него, начала отклоняться, по доверенности из-за того, что была указана в spamhaus и CBL.abuseat, spamhaus заявляет, что они указываются по доверенности записи CBL, CBL заявляет, что мы были указаны за отправку «ошеломляюще больших объемов спама», они ссылаются на DNS-имя этого сервера как на источник. Если только это не телепатические протоколы, мы в среднем отправляем около 60, и никогда не отправляли больше 100 писем в день, и теперь у меня более трех месяцев перехваченного трафика, который не показывает НИ ОДНОГО сообщения, которое не исходило бы из известного источника и не было бы предназначено для адреса, на который мы обычно отправляем (99% из которых в любом случае являются внутренними адресами!) Так что помимо обличительной речи, которую «страница помощи» изрыгает обо всех потенциальных причинах этого, как мы, вероятно, были скомпрометированы, как сканировать на наличие инфекций в службах, которые мы даже не запускаем, и т. д. Мы без вопросов подтвердили, что заявление ложно, мы отслеживали весь сетевой трафик к этой машине и с нее с зеркального порта коммутатора с помощью Wireshark, мы отслеживали весь трафик на нашем пограничном брандмауэре, мы получили подтверждение от нашего интернет-провайдера с их стороны, мы просто НЕ отправляем почту, которую мы явно не хотели отправлять. С этой машины или с этого IP-адреса. Тем не менее, это уже 4-й запрос на удаление, который мне пришлось обрабатывать с ними. Мне удалось получить два электронных письма из их системы, поскольку я запрашивал образцы почты, которые, как они утверждают, были отправлены нами, одно из них является дословной копией их «страницы помощи» и запросом на указанный IP, другое — какой-то хлипкий ответ, который сформулирован как робот, подписан «Мюррей» и не несет никакой пользы. Похоже, что один из них был шаблонным ответом на запрос IP первого, в котором говорилось, что он уже был отправлен на удаление.
Мы связались с Microsoft, чтобы узнать, что их фильтрация подключений происходит до нашего административного контроля, то есть настройка «одобренного отправителя» бесполезна, если фильтры репутации IP-адресов отключат нас до того, как он достигнет этого уровня. Поэтому мы не можем внести себя в белый список. И они не берут на себя никакой ответственности за использование сервиса или за тот факт, что он контролирует поток почты между нашим платным сервисом и нашей деловой сетью таким образом, который никто из нас не может изменить. Единственное, что мы можем себе представить, это то, чтоможет бытьодно из сообщений сканирования в папку «Входящие» пересылается какому-то чрезмерно усердному спам-фильтру, и нас помечают как транспортный метод в цепочке. Так что я застрял без возможности продолжить, я не могу добиться движения из abuseat, я не могу заставить Microsoft сдвинуться с места, у меня есть доказательства того, что нас ложно вносят в список, и нет никаких доказательств обратного, чтобы даже начать изучать их дальше, в полной растерянности относительно того, что делать, кроме как начать менять свой публичный IP и все зависящие от него службы. Я имел дело с обеспечением безопасности открытого ретранслятора в прошлом и убирая его последствия, но это абсолютно подтвержденная подделка, и не с кем за это взяться. Но они держат нас за короткие волосы.