¿Cómo detengo la retrodispersión de spam que hace que el correo electrónico en mi dominio no se pueda usar?

11

Algunos delincuentes están utilizando cuentas inexistentes en mi dominio como remitente falsificado para correos electrónicos no deseados (es decir, [email protected] ).

Todos los correos electrónicos de rechazo de spam y fuera de la oficina vuelven a mí (ya que mi dominio está configurado para pasarme cualquier cosa dirigida a mi nombre de dominio).

El correo electrónico del dominio en realidad está configurado para redirigir a Gmail, que está haciendo un trabajo admirable para hacer frente al diluvio (50k + correos electrónicos por semana al menos) pero todavía hay mucho que no se filtra.

El resultado de esto es que ahora ya no tengo mi correo electrónico para esta cuenta llegando a mi iPhone, ya que es incesante.

¿Qué puedo hacer para recuperar la normalidad? Lo primero que me viene a la mente es no tener todos los correos electrónicos de dominio (es decir, si la cuenta no existe, ignórela).

¿Alguien más recibió más consejos?

Editar: De repente se me ocurrió, ¿es mejor preguntar esto en ServerFault?

Rob Cowell
fuente
Sí, espere a que se mueva a ServerFault en lugar de volver a publicar.
djhowell
¡Uf! ¡Afortunadamente no he enviado el formulario en SF todavía! :-D
Rob Cowell

Respuestas:

12

Respuesta simple: no tengas un todo en tu dominio.

De hecho, no acepte correo en su servidor para cuentas que no existen, punto final. Simplemente rechazarlo directamente, durante la transacción SMTP inicial. Esto es especialmente importante cuando tiene un servidor "proxy" SMTP front-end que hace cosas como antivirus, antispam, etc., antes de pasar correos electrónicos limpios (er) a un servidor SMTP "interno" que sabe qué usuarios tienen buzones ( por ejemplo, MS Exchange). Los servidores proxy externos a menudo se configuran para aceptar correo electrónico para un dominio completo, sin saber qué usuarios existen, por lo que aceptan correo a cualquier persona en su dominio. Solo cuando se den cuenta de que el usuario no existe, generarán un NDR. Esto a menudo puede ser volver a una dirección no válida o a alguna otra víctima inocente.

También se beneficiará aquí al no enviar NDR para spam a direcciones no válidas en su dominio que su servidor "interno" rechaza. De hecho, he visto que los ISP confunden estos NDR con el abuso de spam saliente .

tomfanning
fuente
44
+1. por cierto, no culpo a los ISP por ver esos NDR como spam: la retrodispersión es spam, causa los mismos problemas de carga que el spam directo. También es evidencia de un servidor de correo ejecutado de forma incompetente que merece ser bloqueado.
cas
Sospeché el caso. Gracias por confirmarlo y proporcionar información adicional
Rob Cowell
6
  1. No hagas * @ mydomain -> algo. Esa es una receta para lo que estás experimentando.
  2. Asegúrese de que su servidor de correo sepa qué usuarios válidos existen y rechace el correo (en el momento SMTP, ¡no después!) Para los usuarios que no existen.

Además, considere usar algo como esto (postfix formateado) smtpd_recipient_restriction

<>          reject_rbl_client ips.backscatterer.org
postmaster  reject_rbl_client ips.backscatterer.org
Bill Weiss
fuente
Las direcciones generales de +1 son una muy mala idea. son un multiplicador de spam y back-scatter. obtienes la basura para cada parte aleatoria local @ tudominio que usan los spammers.
cas
4

En los carteles anteriores se aconseja rechazar cualquier correo electrónico a nivel SMTP que no sea un usuario conocido: esto puede ser utilizado por los spammers para detectar si una dirección de correo electrónico en su dominio es válida.

Por supuesto, las alternativas son

  • aceptar el correo electrónico (malo),
  • colóquelo en silencio (malo si es un correo legítimo con un error tipográfico en la dirección)

así que es una situación típica de "maldito si lo haces, maldito si no" que aparece en todas partes donde está involucrado el correo electrónico ...


fuente
0

La solución correcta para detener la retrodispersión sin permitir la recolección de correos electrónicos es rechazar el correo electrónico para usuarios inexistentes, pero también usar fail2ban para bloquear los ataques de recolección de directorios. Entonces, después de los primeros seguidos desde la IP, se bloqueará.

Esto obtiene lo mejor de ambos mundos. Al rechazar durante SMTP, se evita la retrodispersión. Al utilizar fail2ban para cortafuegos de máquinas que se comportan mal, se detiene el ataque de recolección de directorios. Y al rechazar el correo electrónico legítimo escrito a máquina, la persona se da cuenta de que algo salió mal.

Arrojar
fuente
1
Tal bloqueo puede conducir a falsos positivos. Debe asegurarse de que el bloqueo siempre se realice utilizando códigos de error que indiquen un error de transición. Debe asegurarse de que tenga un mensaje de error muy claro que indique por qué se bloqueó la transacción. Y no debe dejar que el bloqueo persista por más de unos minutos a la vez.
kasperd