Pertanyaan Bagaimana cara menghentikan orang menggunakan domain saya untuk mengirim spam? [duplikat]


Pertanyaan ini sudah memiliki jawaban di sini:

Saya menerima pesan Daemon Mailer yang mengatakan bahwa email tertentu gagal. Domain saya adalah itaccess.org yang dikelola oleh aplikasi Google. Apakah ada cara saya dapat mengidentifikasi siapa yang mengirim email dari domain saya, dan bagaimana mereka melakukannya tanpa saya membuat akun untuk mereka?

Delivered-To: 7e949ba@itaccess.org
Received: by 10.142.152.34 with SMTP id z34csp12042wfd;
        Wed, 8 Aug 2012 07:12:46 -0700 (PDT)
Received: by 10.152.112.34 with SMTP id in2mr18229790lab.6.1344435165782;
        Wed, 08 Aug 2012 07:12:45 -0700 (PDT)
Return-Path: <whao@www20.aname.net>
Received: from smtp-gw.fsdata.se (smtp-gw.fsdata.se. [195.35.82.145])
        by mx.google.com with ESMTP id b9si24888989lbg.77.2012.08.08.07.12.44;
        Wed, 08 Aug 2012 07:12:45 -0700 (PDT)
Received-SPF: neutral (google.com: 195.35.82.145 is neither permitted nor denied by best guess record for domain of whao@www20.aname.net) client-ip=195.35.82.145;
Authentication-Results: mx.google.com; spf=neutral (google.com: 195.35.82.145 is neither permitted nor denied by best guess record for domain of whao@www20.aname.net) smtp.mail=whao@www20.aname.net
Received: from www20.aname.net (www20.aname.net [89.221.250.20])
    by smtp-gw.fsdata.se (8.14.3/8.13.8) with ESMTP id q78EChia020085
    for <7E949BA@itaccess.org>; Wed, 8 Aug 2012 16:12:43 +0200
Received: from www20.aname.net (localhost [127.0.0.1])
    by www20.aname.net (8.14.3/8.14.3) with ESMTP id q78ECgQ1013882
    for <7E949BA@itaccess.org>; Wed, 8 Aug 2012 16:12:42 +0200
Received: (from whao@localhost)
    by www20.aname.net (8.14.3/8.12.0/Submit) id q78ECgKn013879;
    Wed, 8 Aug 2012 16:12:42 +0200
Date: Wed, 8 Aug 2012 16:12:42 +0200
Message-Id: <201208081412.q78ECgKn013879@www20.aname.net>
To: 7E949BA@itaccess.org
References: <20120808171231.CAC5128A79D815BC08430@USER-PC>
In-Reply-To: <20120808171231.CAC5128A79D815BC08430@USER-PC>
X-Loop: whao@whao.se
From: MAILER-DAEMON@whao.se
Subject: whao.se:  kontot avstängt - account closed
X-FS-SpamAssassinScore: 1.8
X-FS-SpamAssassinRules: ALL_TRUSTED,DCC_CHECK,FRT_CONTACT,SUBJECT_NEEDS_ENCODING

    Detta är ett automatiskt svar från F S Data - http://www.fsdata.se

    Kontot för domänen whao.se är tillsvidare avstängt.
    För mer information, kontakta info@fsdata.se

    Mvh,
    /F S Data

    -----

  This is an automatic reply from F S Data - http://www.fsdata.se

  The domain account "whao.se" is closed.
  For further information, please contact info@fsdata.se

  Best regards,
  /F S Data

105
2017-08-08 14:17




Jika Anda ingin mencari lebih lanjut di web untuk masalah itu, istilah umum untuk jenis penyalahgunaan email tersebut disebut Joe Job. - Oliver
Masalahnya adalah TIDAK bahwa seseorang mengklaim menjadi ANDA (domain Anda), melainkan, bahwa seseorang (lain) mempercayai mereka. Jika saya mengirim email kepada Anda mengklaim itu DARI Barack Obama, apakah Anda percaya padaku? Tentu saja tidak. Anda mendapatkan "backscatter". Mengeluh kepada mereka yang telah menerima email palsu ("pekerjaan joe") dan menerima bahwa alamat dari benar. Tetapi lakukan ini HANYA jika domain Anda menawarkan data SPF yang menunjukkan di mana (alamat, host) satu-satunya email yang valid dapat berasal. - Skaperen


Jawaban:


Karena belum secara eksplisit dinyatakan, saya akan menyatakannya.

Tidak ada yang menggunakan domain Anda untuk mengirim spam.

Mereka menggunakan data pengirim palsu untuk menghasilkan email yang terlihat seperti berasal dari domain Anda. Ini semudah menempatkan alamat pengirim palsu di selembar surat pos, jadi tidak, tidak ada cara untuk menghentikannya. SPF (seperti yang disarankan) dapat mempermudah server email lain untuk mengidentifikasi email itu sebenarnya berasal dari domain dan email Anda yang tidak, tetapi seperti Anda tidak dapat menghentikan saya menempatkan alamat pos Anda sebagai alamat pengirim pada semua ancaman pembunuhan yang saya kirimkan, Anda tidak dapat menghentikan seseorang menempatkan domain Anda sebagai balasan -untuk mengatasi spam mereka.

SMTP tidak dirancang untuk aman, dan tidak.


137
2017-08-08 15:10



+1 untuk analogi surat pos. Itu yang selalu saya gunakan dengan orang-orang non-teknis. Tidak ada yang harus masuk ke rumah Anda untuk mengirim surat keluar dengan alamat pengirim Anda di dalamnya. Mereka hanya perlu bisa menjatuhkannya ke kotak surat. - Evan Anderson
Anda mungkin ingin menautkan ke jawaban secara eksplisit alih-alih hanya mengatakan "seperti yang disarankan" - Thorbjørn Ravn Andersen
Sangat? Kaulah yang mengirim semua ancaman pembunuhan itu?!? :) - John Robertson
Sangat lucu bahwa semua orang yang bekerja dengan saya, ditambah semua orang di sini, selalu menggunakan contoh barakobama@whitehouse.gov yang sesungguhnya. - Captain Hypertext
Agar lebih benar, Anda harus mengatakan: Tidak ada yang menggunakan server (domain) Anda untuk mengirim spam. Karena mereka memang menggunakan domain, yaitu sebagai FROM-address. Tentu saja SPF tidak ada penghalang sama sekali, karena pengirim akan menggunakan server hop yang tidak melakukan pemeriksaan SPF. Solusi akan sederhana: Server yang bertanggung jawab untuk TO-address harus menolak dengan 450 ke server asal email, bukan untuk mengirim DSN ke server yang bertanggung jawab untuk FROM-address - roothahn


Ini adalah sifat SMTP (protokol yang digunakan untuk mentransfer surat) bahwa tidak ada validasi yang dilakukan pada alamat pengirim yang tercantum dalam email. Jika Anda ingin mengirim email yang tampaknya berasal president@whitehouse.gov... Anda dapat melanjutkan dan melakukan itu, dan dalam banyak kasus tidak ada yang dapat dilakukan siapa pun untuk menghentikan Anda.

Karena itu, jika Anda membangun Catatan SPF untuk domain Anda, ada kemungkinan yang lebih baik bahwa sistem penerima akan mengenali email palsu sebagai spam. Data SPF mengidentifikasi sistem yang diizinkan untuk memulai email untuk domain Anda. Tidak semua sistem penerima memperhatikan catatan SPF, tetapi penyedia email yang lebih besar akan menggunakan informasi ini.


100
2017-08-08 14:23



Khusus untuk Google Apps yang dapat Anda ikuti langkah-langkah ini. - MichaelHouse
Saya memiliki masalah ini saat ini juga, dan catatan SPF saya benar. Sayangnya, banyak penyedia surat besar mengabaikan data SPF. Termasuk tokoh-tokoh seperti Yahoo. :-( - staticsan
Jangan lupa tentang DomainKeys. DKIM. - desbest


Saya mendukung jawaban yang sudah diberikan mengenai SPF (+1, masing-masing dari Anda!) Tetapi harap dicatat bahwa jika Anda memutuskan untuk pergi dengan cara ini - dan itu cara yang baik - ada tidak ada poin dalam melakukannya kecuali Anda mengidentifikasi dan beriklan semua host yang disetujui untuk mengirim email ke domain Anda, dan semua orang lain dengan keras melarangnya -all.

Tidak hanya akan ?all dan ~all tidak memiliki efek yang diinginkan, tetapi beberapa admin email di SF menganggapnya sebagai tanda domain pengirim yang positif-spam.


35
2017-08-08 14:48



Panduan Google tentang membuat entri SPF untuk domain menggunakan Google Apps untuk mengirim email: "Memublikasikan data SPF yang menggunakan -all, bukan ~ semua dapat mengakibatkan masalah pengiriman." - Ariel
Ya, itu mungkin, itulah intinya. Asalkan Anda sudah memasukkan daftar host yang mungkin mengirim email Anda secara sah, Anda ingin semua host lain mengalami masalah pengiriman; masalah hanya akan mempengaruhi Anda jika Anda sudah gagal untuk mendaftar semua host pengiriman valid Anda, dan itulah yang dimaksud oleh google. Lihat komentar Chris S serverfault.com/questions/374452/ ... untuk satu contoh admin yang menentang tidak berguna (kurang a -all) Catatan SPF. - MadHatter
Tetapi jika Anda menggunakan -all, siapa saja yang menggunakan penerusan surat tidak akan menerima surat. Saya percaya orang masih menggunakan penerusan surat (apakah mereka harus menggunakannya adalah pertanyaan lain) - netvope
Anda memang benar, tetapi itulah yang dimaksudkan SRS (Sender Rewriting System). Saya berpendapat bahwa itu harus dipahami bahwa SPF dan sederhana (non-SRS) forwarding adalah saling eksklusif dan bahwa admin harus memilih hanya satu, bukan berarti Anda masih dapat menggunakan SPF bersama forwarding sederhana jika Anda hanya mengubah -all misalnya ~all. Itu pada dasarnya tidak menggunakan SPF sama sekali. - MadHatter
Admin email mungkin menggunakan -all, tetapi setiap host yang dibagikan termasuk email hari ini. Kegagalan langsung dianggap sebagai kesalahan konfigurasi yang seharusnya tidak dianggap serius saat softfail terjadi. Itu sebabnya setelah menganalisis banyak penggunaan spam dan SPF, skor SPF_SOFTFAIL default SpamAssassins lebih tinggi daripada SPF_FAIL default. Apa sebenarnya masalah dengan DMARC? Jika milis Anda terpengaruh oleh kebijakan DMARC maka ledakan email Anda tidak dikonfigurasi dengan benar. Ini memberikan kontrol lebih besar atas SPF Anda dan memberikan laporan umpan balik. Anda memberi tahu semua pengguna Yahoo bahwa mereka tidak akan menerima surat massal Anda? - J.Money


Kerangka Kebijakan Pengirim (SPF) dapat membantu. Ini adalah sistem validasi email yang dirancang untuk mencegah spam email dengan memverifikasi alamat IP pengirim. SPF memungkinkan administrator untuk menentukan host mana yang diizinkan untuk mengirim email dari domain tertentu dengan membuat data SPF spesifik (atau catatan TXT) di Sistem Nama Domain (DNS). Penukar surat menggunakan DNS untuk memeriksa bahwa email dari domain tertentu dikirim oleh host yang disetujui oleh administrator domain tersebut.


20
2017-08-08 14:22





Itu tidak terlihat seperti SPF akan membantu dalam contoh khusus ini. Sebuah mesin yang mengganggu untuk memeriksa catatan SPF untuk menolak surat tidak mungkin begitu rusak untuk menerima email untuk domain yang tidak ada, kemudian memutuskan tidak dapat mengirimkannya dan menghasilkan pesan pentalan. Jika mail-gw01.fsdata.se, mesin yang menerima email untuk whao.se, telah mementalkannya dengan benar, pesan pentalan Anda akan berasal dari server Google SMTP.

Sayangnya, perilaku rusak semacam ini (menerima dan kemudian menghasilkan pantulan) bukan hal yang tidak biasa. Tidak ada hal yang dapat Anda lakukan untuk membuat beberapa mesin acak dari berpura-pura memiliki pesan untuk dikirimkan dari domain Anda. Juga tidak ada hal yang dapat Anda lakukan tentang penundaan pentalan.

Anda dapat, bagaimanapun, memiliki lebih sedikit bounce blowback ini untuk dibaca. Jika 7E949BA bukan pengguna sebenarnya di itaccess.org, karena saya menduga itu tidak mungkin, Anda mendapatkan pesan pentalan karena Anda memiliki alamat penampung-semua yang diaktifkan. Semua tangkap berarti bahwa domain Anda akan menerima email untuk pengguna yang tidak ada dan mengirimkannya kepada Anda. Ini terutama cara yang baik untuk mengembangkan koleksi pesan spam dan pantulan Anda. Di Google Apps, untuk mengonfigurasi tangkapan-semua Anda, itu di bawah "Kelola domain ini" -> Setelan -> Email, sekitar setengah jalan.


5
2017-08-09 01:22





Ide yang belum disebutkan adalah menolak backscatter. Semua yang saya lihat datang melalui relay mail terbuka, dan ada dua daftar blackhole yang mungkin berguna bagi Anda untuk mengurangi jumlah backscatter yang Anda terima.

  • Backscatterer adalah DNSBL yang secara eksplisit mencantumkan server SMTP yang mengirim info backscatter dan pengirim.

  • RFC-Ignorant adalah DNSBL yang berisi daftar server SMTP yang tidak mematuhi berbagai RFC penting.

Menambahkan ini di (bersama dengan beberapa BL yang lebih terfokus secara tradisional) mengurangi jumlah backscatter yang saya terima lebih dari 90%.


3
2017-08-09 16:31





Apa yang Anda maksud sebenarnya disebut serangan BACKSCATTER. Sekarang apa yang sebenarnya sudah dijelaskan jauh di atas.

Bagaimana cara mengatasinya?

Backscatter dapat dicegah dengan solusi yang di-hosting sendiri seperti Postfix, qmail dan exim dll, tetapi tidak dengan googleapps, karena ini populer karena tidak memiliki perlindungan untuk menangani backscatter, kecuali hanya data SPF.


3
2017-08-08 20:53





Seperti yang telah disebutkan oleh jawaban lainnya, Anda menerima pantulan dari email orang lain. SpamCop sebelumnya tidak menyebut spam ini, tetapi hari ini ia menerima laporan untuk ini. Misalnya. Saya menyalin pesan yang Anda kutip (dan saya telah memasukkan akun Gmail saya untuk menentukan mailhosts saya) dan dapatkan hasil ini (yang saya batalkan).

Singkatnya, Anda dapat menggunakan SpamCop untuk melaporkan pengirim dari bouncing ini. Itu tidak (langsung) menghentikan penggagas masalah, tetapi dapat mengurangi bounce ini.


0
2017-08-09 05:10





Sistem email bergantung pada From: header, yang sangat mudah untuk spoof.

Misalnya, kode PHP ini:

mail('someone@live.com', 'Your new Outlook alias is ready to go', 'Ha ha! This is spoofed!', "From: Outlook Team<member_services@live.com>\r\n");

akan mengirim email ke someone@live.com berpura-pura menjadi Tim Outlook.


-1
2017-08-08 22:19



Tidak, itu bergantung pada pengirim "amplop" SMTP (dan penerima juga) (yang dikirim dalam MAIL FROM perintah), yang bisa benar-benar berbeda dari header From:. - derobert
@derobert Oke, saya tidak tahu itu. Terima kasih! - uınbɐɥs
Silakan lanjutkan dan edit posting Anda untuk memperbaikinya… itulah salah satu dari banyak alasan yang didorong untuk menggunakan tautan edit. - derobert