Recebo mensagens do Mailer Daemon dizendo que alguns e-mails falham. Meu domínio é itaccess.orgadministrado pelos aplicativos do Google. Existe alguma maneira de identificar quem está enviando e-mails do meu domínio e como eles estão fazendo isso sem que eu crie uma conta para eles?
Delivered-To: [email protected]
Received: by 10.142.152.34 with SMTP id z34csp12042wfd;
Wed, 8 Aug 2012 07:12:46 -0700 (PDT)
Received: by 10.152.112.34 with SMTP id in2mr18229790lab.6.1344435165782;
Wed, 08 Aug 2012 07:12:45 -0700 (PDT)
Return-Path: <[email protected]>
Received: from smtp-gw.fsdata.se (smtp-gw.fsdata.se. [195.35.82.145])
by mx.google.com with ESMTP id b9si24888989lbg.77.2012.08.08.07.12.44;
Wed, 08 Aug 2012 07:12:45 -0700 (PDT)
Received-SPF: neutral (google.com: 195.35.82.145 is neither permitted nor denied by best guess record for domain of [email protected]) client-ip=195.35.82.145;
Authentication-Results: mx.google.com; spf=neutral (google.com: 195.35.82.145 is neither permitted nor denied by best guess record for domain of [email protected]) [email protected]
Received: from www20.aname.net (www20.aname.net [89.221.250.20])
by smtp-gw.fsdata.se (8.14.3/8.13.8) with ESMTP id q78EChia020085
for <[email protected]>; Wed, 8 Aug 2012 16:12:43 +0200
Received: from www20.aname.net (localhost [127.0.0.1])
by www20.aname.net (8.14.3/8.14.3) with ESMTP id q78ECgQ1013882
for <[email protected]>; Wed, 8 Aug 2012 16:12:42 +0200
Received: (from whao@localhost)
by www20.aname.net (8.14.3/8.12.0/Submit) id q78ECgKn013879;
Wed, 8 Aug 2012 16:12:42 +0200
Date: Wed, 8 Aug 2012 16:12:42 +0200
Message-Id: <[email protected]>
To: [email protected]
References: <20120808171231.CAC5128A79D815BC08430@USER-PC>
In-Reply-To: <20120808171231.CAC5128A79D815BC08430@USER-PC>
X-Loop: [email protected]
From: [email protected]
Subject: whao.se: kontot avstängt - account closed
X-FS-SpamAssassinScore: 1.8
X-FS-SpamAssassinRules: ALL_TRUSTED,DCC_CHECK,FRT_CONTACT,SUBJECT_NEEDS_ENCODING
Detta är ett automatiskt svar från F S Data - http://www.fsdata.se
Kontot för domänen whao.se är tillsvidare avstängt.
För mer information, kontakta [email protected]
Mvh,
/F S Data
-----
This is an automatic reply from F S Data - http://www.fsdata.se
The domain account "whao.se" is closed.
For further information, please contact [email protected]
Best regards,
/F S Data
Como ainda não foi explicitamente declarado, vou declará-lo.
Ninguém está usando seu domínio para enviar spam.
Eles estão usando dados de remetente falsificados para gerar um e-mail que parece ser do seu domínio. É tão fácil quanto colocar um endereço de remetente falso em uma correspondência, então não, não há como impedir isso. O SPF (como sugerido) pode tornar mais fácil para outros servidores de e-mail identificar e-mails que realmente vêm de seu domínio e e-mails que não vêm, mas assim como você não pode me impedir de colocar seu endereço postal como endereço de retorno em todos os ameaças de morte que eu envio, você não pode impedir alguém de colocar seu domínio como o endereço de resposta em seu spam.
O SMTP simplesmente não foi projetado para ser seguro, e não é.
É da natureza do SMTP (o protocolo usado para transferir e-mails) que nenhuma validação seja feita no endereço do remetente listado em um e-mail. Se você quiser enviar um e-mail que parece vir de
[email protected]... você pode ir em frente e fazer isso e, em muitos casos, não há nada que alguém possa fazer para impedi-lo.Dito isto, se você estabelecer registros SPF para seu domínio, há uma chance maior de que os sistemas de recebimento reconheçam o e-mail forjado como spam. Um registro SPF identifica os sistemas que têm permissão para originar e-mails para seu domínio. Nem todos os sistemas de recebimento prestam atenção aos registros SPF, mas os provedores de e-mail maiores usarão essas informações.
Subscrevo as respostas já dadas em relação ao SPF (+1, cada um de vocês!), mas observe que se você decidir seguir esse caminho - e é um bom caminho - não faz sentido fazê-lo a menos que você identifique e anuncie todos os hosts que são aprovados para enviar e-mails para seu domínio e proíbem todos os outros com
-all.Não apenas terão
?alle~allnão terão o efeito desejado, mas alguns administradores de e-mail no SF os consideram um sinal de um domínio de remetente com spam positivo.O Sender Policy Framework (SPF) pode ajudar. É um sistema de validação de e-mail projetado para evitar spam de e-mail, verificando os endereços IP do remetente. O SPF permite que os administradores especifiquem quais hosts têm permissão para enviar mensagens de um determinado domínio criando um registro SPF específico (ou registro TXT) no Domain Name System (DNS). Os trocadores de correio usam o DNS para verificar se o correio de um determinado domínio está sendo enviado por um host sancionado pelos administradores desse domínio.
Não parece que um SPF teria ajudado neste exemplo específico. Uma máquina que estava se preocupando em verificar os registros SPF para rejeitar e-mails provavelmente não estará tão quebrada a ponto de aceitar e-mails de um domínio inexistente, então decidir que não pode entregá-los e gerar a mensagem de devolução. Se mail-gw01.fsdata.se, a máquina que aceita correio para whao.se, o tivesse devolvido corretamente, sua mensagem de devolução viria de um servidor SMTP do Google.
Infelizmente, esse tipo de comportamento quebrado (aceitar e depois gerar uma rejeição) não é tão incomum. Não há nada que você possa fazer para evitar que uma máquina aleatória finja que tem uma mensagem para entregar do seu domínio. Também não há nada que você possa fazer sobre devoluções atrasadas.
Você pode, no entanto, ter menos desses retornos de blowback para ler. Se 7E949BA não for um usuário real em itaccess.org, como suspeito que não seja, você está recebendo a mensagem de devolução porque seu endereço catch-all está ativado. Um catch-all significa que seu domínio aceitará e-mail para qualquer usuário inexistente e o entregará a você. Esta é principalmente uma boa maneira de aumentar sua coleção de spam e mensagens devolvidas. No Google Apps, para configurar seu catch-all, está em "Gerenciar este domínio" -> Configurações -> E-mail, mais ou menos na metade.
O que você está se referindo é realmente chamado de ataque BACKSCATTER. Agora o que é realmente já está explicado bem acima.
Como resolvê-lo?
O backscatter pode ser evitado com soluções auto-hospedadas como Postfix, qmail e exim etc, mas não com o googleapps, pois é popular por não ter proteção presente para lidar com backscatter, exceto apenas registros SPF.
Uma ideia ainda não mencionada é rejeitar o retroespalhamento. Tudo o que eu vi vem através de retransmissões de e-mail abertas, e existem duas listas de buracos negros que você pode achar úteis para reduzir a quantidade de retrodifusão que você recebe.
Backscatterer é um DNSBL que lista explicitamente os servidores SMTP que enviam backscatter e callouts do remetente.
RFC-Ignorant é um DNSBL que lista os servidores SMTP que não obedecem a vários RFCs importantes.
Adicioná-los (junto com vários outros BLs mais tradicionalmente focados) reduziu a quantidade de retroespalhamento que recebo em mais de 90%.
Como as outras respostas mencionaram, você está recebendo devoluções de e-mails de outra pessoa. O SpamCop anteriormente não chamava isso de spam, mas atualmente aceita relatórios para isso. Por exemplo, copiei a mensagem que você citou (e incluí minha conta do Gmail para determinar meus hosts de correio) e obtive esse resultado (que cancelei).
Em resumo, você pode usar o SpamCop para relatar os remetentes dessas devoluções. Ele não interrompe (diretamente) os iniciadores do problema, mas pode reduzir essas rejeições.
O sistema de e-mail depende de
From:cabeçalhos, que são muito fáceis de falsificar.Por exemplo, este código PHP:
enviará um e-mail para
[email protected]fingir ser a Equipe do Outlook.