BoutiqueAnnette.com

  

Beste Artikel:

  
Main / Postfix E-Mail-Spoofing, wie man aufhört

Postfix E-Mail-Spoofing, wie man aufhört

In den letzten zwei Jahren, als ich meinen eigenen E-Mail-Server betrieb, erhielt ich viel Spam, von denen die meisten aus China stammten. Dieser Beitrag ist das Ergebnis meiner Erfahrung im Kampf gegen Spam. Wenn Sie vorhaben, einen eigenen Mailserver zu betreiben, empfehle ich die Verwendung von iRedmail, was das Einrichten eines Mailservers erheblich vereinfacht. Es wird auch mit Anti-Spam-Regeln geliefert. Wenn Sie es vorziehen, einen Mailserver von Grund auf neu einzurichten, lesen Sie meine Mail-Server-Lernserien.

Legitime E-Mail-Server sollten diese Eigenschaften niemals aufweisen. Der PTR-Datensatz ordnet eine IP-Adresse einem Domänennamen zu. Unter Linux können Sie den einer IP-Adresse zugeordneten Domänennamen abfragen, indem Sie den folgenden Befehl ausführen: Beispielsweise wird ein Spammer, der eine Amazon EC2-Instanz zum Senden von Spam verwendet, wie folgt auf meinem Server protokolliert: Wie Sie sehen können, lautet der HELO-Hostname ip-172-30-0-149. Es hat keinen gültigen A-Datensatz oder MX-Datensatz. Ein legitimer E-Mail-Server sollte auch einen gültigen A-Eintrag für seinen Hostnamen haben.

Wenn ein Domainname keinen MX-Eintrag hat, findet Postfix den A-Eintrag der Hauptdomain und sendet eine E-Mail an diesen Host. Beachten Sie, dass ich diese Einschränkung über andere Ablehnungsbeschränkungen gestellt habe.

Möglicherweise passiert dies nur auf meinem E-Mail-Server. Standardmäßig ist Postfix so konfiguriert, dass fehlgeschlagene E-Mails viele Male erneut gesendet werden, bevor der Absender darüber informiert wird, dass die Nachricht nicht zugestellt werden konnte. Viele Spammer senden normalerweise nur einmal und würden es nicht erneut versuchen. Postgrey ist ein Greylisting-Richtlinienserver für Postfix. Sie können postgrey unter Ubuntu aus dem Standard-Repository installieren.

Standardmäßig beträgt die Greylist-Zeit 300 Sekunden. Dies bedeutet, dass ein unbekannter SMTP-Client 5 Minuten warten muss, bevor er die E-Mail erneut sendet. Als Nächstes müssen wir die Postfix-Hauptkonfigurationsdatei bearbeiten, damit sie den Greylisting-Richtlinienserver verwendet.

Von nun an lehnt Postgrey eine E-Mail ab, wenn die IP-Adresse des Absender-Triplett-Absenders, die E-Mail-Adresse des Absenders und die E-Mail-Adresse des Empfängers neu sind. Andererseits versuchen sie niemals, eine abgelehnte E-Mail mit derselben Absenderadresse erneut zu senden, was bedeutet, dass Greylisting sehr effektiv sein kann, um diese Art von Spam zu stoppen. Das Problem ist, dass Postgrey nicht läuft.

Sie müssen 127 angeben. Ändern Sie daher die folgende Zeile. Greylisting kann zu schlechten Erfahrungen für den Endbenutzer führen, da der Benutzer noch einige Minuten warten muss, bis die E-Mail eintrifft. Um diese schlechte Erfahrung zu minimieren, können Sie eine Whitelist erstellen.

Ersteres enthält eine Liste von Hostnamen und letzteres enthält eine Liste von Empfängeradressen. Egal, der Absender verwendet Google Mail. Sie können auch Postgrey-Protokolle mit diesem Befehl sudo journalctl -u postgrey anzeigen. Sie können diese Hostnamen mit einem Tool namens pflogsumm erhalten, auf das ich später in diesem Artikel eingehen werde.

Es gibt Spam-E-Mails, die von Servern gesendet werden, die einen gültigen Hostnamen und einen gültigen PTR-Datensatz haben und eine graue Liste durchlaufen können. In diesem Fall können Sie Blacklisting verwenden, um Spam abzulehnen. Sie können mehrere Blacklists verwenden, um Spam zu blockieren. Gehen Sie zu https: Ich habe beispielsweise festgestellt, dass Spammer von einer der folgenden schwarzen Listen auf die schwarze Liste gesetzt werden:

Einige öffentliche Blacklisting-Dienste erfordern eine monatliche Gebühr. Manchmal sind legitime E-Mail-Server auf der schwarzen Liste. Erstellen Sie die folgende Datei. Speichern und schließen Sie die Datei. Pflogsumm ist ein großartiges Tool zum Erstellen einer Zusammenfassung von Postfix-Protokollen.

Installieren Sie es unter Ubuntu mit:. Verwenden Sie das Flag --rej-add-from, um die E-Mail von der Adresse an jeden Eintrag im Ablehnungsbericht anzuhängen. Ablehnungen von Greylisten können ignoriert werden. Wenn die Variable MAILTO bereits festgelegt wurde, Sie jedoch eine Zusammenfassung des Postfix-Protokolls an eine andere E-Mail-Adresse senden möchten, können Sie die folgende Zeile in Ihren Cron-Job einfügen. Die Ausgabe des Befehls pflogsumm wird an mutt umgeleitet, einen Befehlszeilen-Mail-Benutzeragenten, der die Ausgabe als E-Mail-Text verwendet und an die am Ende angegebene E-Mail-Adresse sendet.

Natürlich müssen Sie mutt auf Ihrem Linux-Server installieren. Bitte überprüfen Sie die folgende Anleitung. Mailserver, die E-Mails im Namen von Personen an ein beliebiges Ziel weiterleiten, werden als Open Relay bezeichnet. Am Anfang ist das eine gute Sache. Im Laufe der Zeit werden offene Relais von Spammern missbraucht, und jetzt werden offene Relais häufig auf die schwarze Liste gesetzt. In dieser Zeile wird Postfix angewiesen, E-Mails nur von Clients in vertrauenswürdigen Netzwerken, von Clients, die sich bei SASL authentifiziert haben, oder von Domänen weiterzuleiten, die als autorisierte Relay-Ziele konfiguriert sind.

Es sollte sich bereits in der Hauptkonfigurationsdatei befinden, nachdem Sie Postfix installiert haben. Nach einiger Zeit wusste der Spammer, dass er meinen Spamfilter nicht passieren kann. Um diese Art von Flutangriff zu stoppen, können Sie fail2ban verwenden, eine Reihe von Server- und Clientprogrammen, um Brute-Force-Authentifizierungsversuche einzuschränken. Installieren Sie fail2ban aus dem Standard-Ubuntu-Repository. Das Verbot erfolgt durch Hinzufügen von iptables-Firewall-Regeln.

Sie können die iptables-Regeln überprüfen, indem Sie den folgenden Befehl ausführen. Sie können die Bantime auf 30 m oder 1 h ändern, um den schlechten Schauspieler für längere Zeit zu verbieten. Wenn Sie Ihre eigene IP-Adresse auf die Whitelist setzen möchten, fügen Sie die folgende Zeile hinzu, um fail2ban anzuweisen, Ihre IP-Adresse zu ignorieren.

Ersetzen 12. Mehrere IP-Adressen werden durch Leerzeichen getrennt. Standardmäßig ist die maximal zulässige Anzahl von Fehlern 5-mal. Nach 5 Fehlern wird der Client gesperrt. Fügen Sie die folgende Zeile hinzu, um eine benutzerdefinierte Anzahl von Fehlern anzugeben. Ändern Sie die Nummer nach Ihren Wünschen.

Dies zeigt an, dass fail2ban eine iptables-Regel eingerichtet hat, die die Verbindung von 195 ablehnt. Wenn Sie eine IP-Adresse manuell blockieren möchten, führen Sie den folgenden Befehl aus. Einige Spammer verwenden automatisierte Tools, um Spam zu senden. Sie ignorieren die Postfix-Ablehnungsnachricht und senden weiterhin Spam. Zum Beispiel kann ich manchmal die folgende Meldung im Postfix-Zusammenfassungsbericht sehen.

Dieser Spammer sendet weiterhin Spam und ignoriert die Postfix-Ablehnungsnachricht: Helo-Befehl abgelehnt: Starten Sie dann Fail2ban neu. Ich hoffe, diese 7 Postfix-Anti-Spam-Maßnahmen haben Ihnen geholfen, E-Mail-Spam zu blockieren. Wirklich hilfreich. Ich bezahle derzeit für Webhosting und einen Mailserver, aber mein 3-Jahres-Vertrag endet bald und ich habe nach Methoden gesucht, wie ich dies auf einer einfach zu implementierenden Linode-Instanz hosten kann.

Vielen Dank für die Informationen zum Spamfilter! Seit einigen Tagen versuche ich, einen Mailserver einzurichten und zu sichern. Was ist besser: In meiner Version von iRedMail im Filter. Ist das die gleiche Regel oder sollte ich trotzdem dein [postfix-auth] zu meinem Gefängnis hinzufügen.

Und in meinem Gefängnis. Wenn Sie Ihren Mailserver mit iRedMail einrichten, empfehle ich die Verwendung des Standard-Greylisting-Dienstes iRedMail und der Standard-Fail2ban-Jails.

Hallo, das ist schön, aber mein Postfix-Server akzeptiert E-Mails vom lokalen Netzwerk 192. Diese Tipps werden verwendet, um eingehenden Spam von anderen SMTP-Servern zu blockieren. Ihre eigenen Benutzer im lokalen Netzwerk und auf localhost können wie gewohnt E-Mails senden. Sie müssen diesem Tutorial folgen, um die SPF-Prüfung zu implementieren.

RCPT von unbekannt [10. Hallo, danke für deinen Beitrag. Lassen Sie mich mein IMHO sagen: Aufgrund der unterschiedlichen Implementierung können viele Mailserver versuchen, über einen sehr langen Zeitraum eine zweite Verbindung herzustellen, anstatt dass Ihr Server dies empfiehlt. Diese scheinen ziemlich vernünftig. Ich gehe davon aus, dass diese mich über abgelehnte Nachrichten informieren. Wie kann ich diese Benachrichtigungs-E-Mails unterdrücken? Postfix meldet standardmäßig keine abgelehnten Nachrichten.

Normalerweise können Sie den Grund am Ende der E-Mail sehen. Erhalten Sie eine Benachrichtigung per E-Mail, wenn jemand auf meinen Kommentar antwortet.

(с) 2019 BoutiqueAnnette.com