Стоп Email Spoofing через cpanel

Question

Кто-то отправляет спам-сообщения и делает его похожим на то, что он был отправлен из моего домена. Как я могу остановить это подмену электронной почты с помощью cpanel. Я читал о SPF где-то.

Вот что мой SPF в CPanel говорит

Your current raw SPF record is : v=spf1 +a +mx +ip4:ipaddress -all 

Что я могу сделать, чтобы предотвратить это?

Answer 1

Вы ничего не можете сделать, чтобы помешать им отправлять электронную почту, которая подделана. Вы можете отправить электронное письмо и посмотреть, как оно происходит из любого места, и ваш сервер исходящей электронной почты (если он настроен на его принятие, и, вероятно, это будет спамеры), и он примет его. Добавление записи SPF может уменьшить количество полученных электронных писем людьми.

Вам необходимо добавить (или добавить) запись TXT в DNS.

v=spf1 include:your.email.domain.here -all

Вы можете включать в себя несколько доменов, добавив другой включают в себя: как:

v=spf1 include:blah1.blach1.com include:blah.blah.com -all

Надежда, что помогает! Электронная почта в основном является самым небезопасным протоколом.

Answer 2

Вы абсолютно НЕ прекратите спуфинг. Делали это в течение 30 лет (до cpanel и т. Д.).

Что касается спуфинга - попросите всех ваших пользователей пройти аутентификацию перед отправкой, это самый простой способ остановить спуфинг на sendmail (см. Ниже разницу между подделкой и подделками). Если вы пытаетесь заблокировать подделки, в интерфейсе CPANEL (WHM) есть инструменты, для которых требуется полное доменное имя, EHLO, DKIM и т. Д. И другие настройки, которые помогут вам в этом.

Кроме того, проверить эту нить из: https://www.webhostingtalk.com/showthread.php?t=669800

Для получения дополнительной информации о том, как остановить его, не Cpanel систем, продолжить чтение. Концепции помогут вам понять, что нужно изменить на системах cpanel.

Ключевым правилом для борьбы с спуфированием является то, что никакая электронная почта, проходящая через ваш MTA, которая не находится в «доверенной» (например, внутренней) сети, должна иметь одинаковые права на отправку и получение доменов. В одиночку это остановит все подмены. Как только это правило будет установлено, вы добавите еще 2 правила. Первое говорит, что внутренние «доверенные» сети освобождаются от этого правила (тем самым затрагивая внешние сети). Второе правило заключается в том, что любое внешнее соединение, которое аутентифицируется (имя пользователя/пароль и т. Д.), Освобождается от этого правила. Это позволяет вашей команде продаж путешествий отправлять/получать электронную почту через ваш корпоративный сервер.

С помощью sendmail вы должны потребовать все подключения для отправки полного доменного имени и чтобы весь адрес FROM/TO был полностью квалифицирован (чтобы вы могли проверить часть домена).

В sendmmail.cf:

PrivacyOptions=needmailhelo,needexpnhelo,needvrfyhelo,restrictqrun,restrictexpand,nobodyreturn,authwarnings 

По умолчанию в Sendmail 8.9 и более поздних версий ретрансляцию от любой сети, не считается "localIp" отрицается с помощью подпрограммы checkrcpt(). Таким образом, внешняя электронная почта должна быть только «входящей» (если не быть аутентифицированной), и у нее не должно быть домена отправки, соответствующего вашему домену (если только он не аутентифицирован).

Ковка противSpoofing

Существует много путаницы в отношении «ковки» и «подмены». Ковка - это когда кто-то отправляет электронное письмо, заявляющее, что оно принадлежит одному домену, но на самом деле это не так (например, кто-то притворяется paypal). Spoofing - это когда электронное сообщение за пределами сети (например, за пределами бизнес-брандмауэра) отправляется кому-то внутри сети, и как отправитель, так и получатель имеют один и тот же домен. Это должно быть никогда не произойдет, если аутсайдер не должен использовать аутентификацию для отказа от отказа. Причина в том, что если вы управляете почтовой сетью, никто из вашей сети не должен получать электронную почту от вашего имени, не зная об этом. Если вы знаете об этом, существуют различные способы настройки параметров, чтобы это разрешить. Но корректировка записей MX, SPF и т. Д., Чтобы остановить спуфинг, неверна. То есть для выявления и прекращения подделки.

Прежде чем говорить о решении подмены более подробно, лучший способом блокировать подделки является:

1. требует EHLO с FQDN проверить отправитель PTR записи матчей и
2. , если не проверить SPF Было бы неплохо используйте Domainkeys/DKIM, но RFC заявляет, что если Domainkey/DKIM не может быть валидирован, вы должны относиться к нему так же, как думали, что его нет (поэтому недопустимый DKIM должен быть проигнорирован) ... разочарование. Если вы решите заблокировать электронную почту с плохой/отсутствующей DKIM, вы заблокируете почти всех, используя ON365, так как это почти повсеместно неправильно сконфигурированы.
3. Используйте карту доступа, чтобы заблокировать зарубежные страны и т. Д., Из которых вы никогда не ожидаете получить электронное письмо
4. Обновите свой брандмауэр, чтобы заблокировать сети, которые, как вы знаете, являются проблемой.

Я многому научился на протяжении многих лет с некоторыми трудными уроками, поскольку я управлял электронной почтой для некоторых из крупнейших кластеров/сетей/провайдеров в мире и некоторых из наиболее известных точек доступа. Электронная почта не является островом для себя. Это требует тесной интеграции с вашей командой DNS и брандмауэром, а также основами, такими как DNS с разделенным горизонтом, DMARC, DKIM, SPF и хорошие чистые записи A/PTR, которые имеют решающее значение для управления потоком и аутентификацией действительной электронной почты. Не разрешайте никому извне подключаться к порту 25 для ретрансляции электронной почты (если не завершено). Только внутренние пользователи должны иметь возможность отправлять OUT, а внешние пользователи могут отправлять IN. Если кто-то внутри отправляется кому-то внутри, то они подключаются к внутреннему порту 25 почтовых серверов, и это «доверено».

Лучшая конфигурация как это работает (не имеет значения, что ваш MTA):

1. почтовый_сервер находится внутри физического брандмауэра.
2. barracuda или другой сервер защиты от нежелательной почты также находится внутри брандмауэра или dmz.
3. порт 25 в ваш почтовый сервер блокируется снаружи, но позволил вашему анти-спам/spamfirewall устройству
4. вашему MX дерево настроено так, что ваш почтовый сервер является первичным, но , поскольку он не доступен из снаружи все упадут обратно на ваш вторичный (это ваше устройство защиты от спама).
5. Только ваше устройство защиты от нежелательной почты или системы с внутренним доверием должно быть разрешено напрямую подключаться к вашему почтовому серверу.
6. Используйте брандмауэр, чтобы предотвратить любую внутреннюю систему отправки почты снаружи сразу (если у вас есть очень веские причины) и заставить их все, чтобы пройти через ваш внутренний почтовый сервер, чтобы выйти на улицу (это номер один способ предотвратить спам в Интернете, и каждый ISP должен это сделать)

Кроме того, если вы используете обмен, это нарушит входящую почту, потому что обмен нуждается в большем количестве MX подробно SOOOO (и это хорошая идея так или иначе), вам нужно создайте MX на уровне домена на ваш почтовый сервер с наивысшим приоритетом, но вам также необходимо создать MX на уровне хоста, как показано ниже (exchange01 - ваш основной почтовый сервер):

@    IN  MX  10  exch01.mydomain.com. 
@    IN  MX  20  barracuda.mydomain.com. 
@    IN  MX  30  tertiary.externalmxprovider.xyz 
exch01   IN  MX  10  exch01.mydomain.com. 
exch01   IN  MX  20  barracuda.mydomain.com. 
exch01   IN  MX  30  tertiary.externalmxprovider.xyz 
barracuda  IN  MX  10  barracuda.mydomain.com. 

Удостоверьтесь, что эта информация рекламируется как внутри, так и снаружи в вашем DNS.

Я также рекомендую использовать ваш спам-брандмауэр в качестве исходящего реле для вашей корпоративной электронной почты, чтобы вы могли предотвратить отправку спама (в случае взлома компьютера сотрудника). Просто настройте свой внутренний почтовый сервер, чтобы использовать устройство защиты от нежелательной почты как «интеллектуальное реле» для исходящей почты.

Если вам нужна помощь в этом, пожалуйста, дайте мне знать. Рад был помочь. Я рад помочь с любым почтовым, DNS или вопрос конфигурации брандмауэра (DMARC, DKIM СПФ, etcx.)

Дэвид