с тех пор, как две недели назад spamhaus продолжил вносить наш IP-адрес в черный список CSS. Нам пришлось немного поправить в соответствии с рекомендациями, поэтому мы несколько раз исключали себя из списка после проверки всех требований.
Теперь, после 3-го раза, они создали тикет по нашему делу и заявили, что наш ответ helo — это localhost:
А затем происходит что-то еще:
(IP, временная метка UTC, значение HELO) 188.39.** 2023-05-30 18:40:00 localhost.localdomain 188.39.** 2023-05-30 07:35:00 localhost.localdomain 188.39.** 2023-05-28 07:05:00 localhost.localdomain 188.39.** 2023-05-27 22:05:00 localhost.localdomain 188.39.** 2023-05-27 17:05:00 localhost.localdomain
Обратите внимание, что верхний пункт находится после вашего сообщения, в котором утверждается, что HELO верен.
Каждый раз, когда нас заносили в черный список, мы проверяли наш ответ, отправляя электронное письмо на адрес[email protected]и ответ был правильным полным доменным именем с допустимым синтаксисом - здесь нет ошибки.
Есть ли возможность, что они получают ответ localhost.localdomain с нашего IP? Как они проверяют ответ HELO, может ли это быть отправкой HELO брандмауэром?
Буду признателен за любую помощь, спасибо
решение1
Если ваш Mdaemon настроен правильно (проверьте также вторичные домены), то, возможно, что-то еще использует тот же публичный IP-адрес.
Обычный сценарий для этого — когда у вас есть один публичный адрес IPv4 на вашем маршрутизаторе и source NAT все через него. Таким образом, источник спама внутри вашей сети неотличим от вашего MTA снаружи.
Вам нужно либо
- отделите исходящий клиентский трафик от вашего почтового агента, используя несколько публичных IP-адресов, или
- запретить исходящий SMTP от ваших клиентов. Можно разрешить исходящий SMTP/MSA на порт 587 (нельзя использовать для спама) или на порт 465 для SMTPS (в основном только аутентифицированный MSA), но не на порт 25, по крайней мере не на произвольные серверы.
Вариант 2 настоятельно рекомендуется, поскольку вы не только убережете свой MTA от попадания в черный список, но и весь остальной мир от спама из вашей сети.
Также хорошей идеей будет поднять тревогу, когда частный клиент попытается подключиться к порту 25: это либо кто-то пытается обойти вашу почтовую систему, либо злоумышленник использует зараженный клиент.