问题[spoofing](server)

我只是为我们的小组织处理这个问题的开发人员，所以如果我错过了任何明显的事情，请提前道歉。

我们使用 Rackspace Cloud 作为我们的电子邮件提供商。最近几周，我们的电子邮件开始进入客户的垃圾邮件文件夹。我们向 Rackspace 提出了这个问题，发现我们没有 DMARC 记录，这是我们大约一周前添加的（SPF 和 DKIM 是很久以前添加的）。在检查来自 Rackspace 的电子邮件日志时，我们发现其中一个分发列表显示为来自我们域的数千封垃圾邮件（显然是伪造的）的发件人。使用了数百个不同的 IP 地址。大约 10 天前，我们删除了该 DL。我们仍然将（现在不存在的）DL 视为垃圾邮件的发件人。这导致我们的域被 gmail 等主要电子邮件提供商标记为可疑。我们的许多客户使用 gmail 作为他们的电子邮件提供商，这对我们造成了巨大的业务影响。

我对这个问题进行了广泛的搜索，除了标准的 SPF、DKIM、DMARC 记录之外，我找不到任何建议。所以我的问题是：

1. 不存在的 DL 如何被视为有效发件人并通过（我希望）邮件服务器在发送电子邮件之前执行的所有检查？
2. 我可以要求 Rackspace 为我们做些什么具体的事情，因为他们不知道如何解决这个问题？
3. 作为最后的手段，是否切换到不同的电子邮件提供商（我们正在考虑使用 Office 365）可能会解决此问题？

感谢您对理解问题并更接近解决方案的任何见解！

我有一台服务器自 1 月以来一直被报告为攻击者，今天我终于找到了有关这些攻击的一些信息，但是我服务器上的日志都没有显示任何类似的东西。结果，该 IP 在许多黑名单中被禁止，并给我的 postfix 用户带来了很大的问题。

从攻击日志中可以看出，这些都是通过浏览器和 Windows NT 进行的，但是我的服务器是 Debian 9，这里有一些例子，62.XXX 是我的 IP（敏感信息已删除）

62.X.X.X - - [01/Mar/2021:14:25:28 +0000] 80 "GET /wp-login.php HTTP/1.1" 403 794 "-" "Mozilla/5.0(Windows NT 6.3; Win64; x64; rv:84.0) Gecko/20100101 Firefox/84.0"

xmlrpc attack

WP-xmlrpc exploit

Mar 1 06:52:53 h2880623 wordpress(www.zzzzz.zz)[6547]: XML-RPC authentication attempt for unknown user [login] from 62.X.X.X

uvcm 62.X.X.X [27/Feb/2021:19:47:01 "-" "POST /wp-login.php 200 1946
62.X.X.X [28/Feb/2021:12:01:03 "-" "GET /wp-login.php 200 5753
62.X.X.X [28/Feb/2021:12:01:05 "-" "POST /wp-login.php 200 5872

62.X.X.X - - [27/Feb/2021:19:09:53 +0100] "POST /wp-login.php HTTP/1.1" 200 2661 "-" "Mozilla/5.0(Windows NT 6.3; Win64; x64; rv:84.0) Gecko/20100101 Firefox/84.0"
62.X.X.X - - [27/Feb/2021:19:09:54 +0100] "POST /wp-login.php HTTP/1.1" 200 2637 "-" "Mozilla/5.0(Windows NT 6.3; Win64; x64; rv:84.0) Gecko/20100101 Firefox/84.0"
62.X.X.X - - [27/Feb/2021:19:10:00 +0100] "POST /wp-login.php HTTP/1.1" 200 2636 "-" "Mozilla/5.0(Windows NT 6.3; Win64; x64; rv:84.0) Gecko/20100101 Firefox/84.0"

etc.. etc..

有人可以欺骗我的 IP 来执行这些攻击吗？我可以做些什么来减轻它吗？

编辑：我很久以前就读过这篇文章如何处理受损的服务器？，并仔细遵循它，但即使遵循了这些建议，我的服务器也受到了损害，或者还有其他事情超出了我的范围。

如标题所述，

我从 googlecast 地址检测到一些 MDNS 查询，这很奇怪，因为我没有安装任何 googlecast 应用程序或类似应用程序。

此外，我的 PC 正在向 239.255.255.250（子网？）发送关于“M-Search：HTTP/1.1”字符串到 Chrome OS 机器的 SSDP 数据包。

MDNS 数据包：192.168.1.65 224.0.0.251 MDNS 119 标准查询 0x000b PTR _674A0243._sub._googlecast._tcp.local，“QM”问题 PTR _8E6C866D._sub._googlecast._tcp.local，“QM”问题 PTR _googlecast._tcp.local ，“质量管理”问题

SSDP 数据包：192.168.1.67 239.255.255.250 SSDP 216 M-SEARCH * HTTP/1.1

也许值得一提的是，我注意到这些 SSDP 数据包的指定“用户代理”被声明为“Google Chrome”或“Chrome OS”。这只是谷歌浏览器的默认功能，包括他们的拨号技术。

我想测试我的网络甚至我的 ISP 是否阻止了欺骗性 IP 数据包。我正在运行 Debian Linux 操作系统。

我找到了这个不错的工具，但它在我的系统上不起作用.. https://www.caida.org/projects/spoofer/

有人知道如何检查这个吗？

所以我有一个小型 Linux 网络服务器，它运行 Direct Admin 控制面板，一切正常。对于每个域，SPF 和 DKIM 记录都存在于 DNS 中，并且邮件（据我所知）从未被标记为垃圾邮件，完美。

现在我有一个朋友想从他的网站上欺骗他的电子邮件。这是一个小的“共享此页面”小部件，人们在其中输入电子邮件to和from电子邮件，然后他们就会被发送。

我面临的问题是 Gmail 中的邮件是随文本一起发送的[email protected] via my.server.fqdn。Gmail 显示的事实via本身并不是问题，我知道这是为了防止欺骗，不幸的是，这显然是保持互联网“保存”所必需的。但是我可以将列出的服务器更改via为我的朋友域名吗？

我可以将 Gmail 更改[email protected] via my.server.fqdn为[email protected] via domain-on-same-server.com吗？（我只想更改此域，显然不会更改我的 exim 配置来更改服务器名称等）

TLDR；

在以下来自Google 支持的屏幕截图中，我想将 example.com 重写为 mydomain.com

我想知道是否有一个局域网和一个公共 IP，通过它各种客户端连接（已分配私有 IP）。假设其中一个客户端欺骗他的 IP 试图对服务器发起攻击（比如谷歌). Google 是否有一种方法可以在没有网络管理员帮助的情况下保护自己免受此类攻击。

我是一名本科计算机科学专业的学生，​​希望获得一些有助于防止 IP 欺骗的方法的知识，但我尝试过的所有资源都以理论上的方式阐述了这个概念。我想尝试以下其中一种技术：

http://en.wikipedia.org/wiki/Port_knocking

http://en.wikipedia.org/wiki/SYN_cookies

如果我自己是攻击者并且我自己必须保护它，我如何在我自己的系统中模拟整个情况？一旦我理解了它，那么我该如何开始将其转化为编程术语呢？

我希望社区可以帮助我了解最近的电子邮件恶搞。昨天我的客户醒来发现数百条退回的失败通知。

客户没有亲自发送任何这些电子邮件。每个失败通知都有一个不同的回复地址，即

[email protected] [email protected] [email protected]

各种回复地址表明只有客户域被欺骗，而不是特定的电子邮件帐户（即实际电子邮件@client-domain.co.uk）。

我知道如果您的电子邮件帐户被欺骗了，游戏就结束了，您需要创建一个新的电子邮件地址。但是，尚未针对特定地址。我认为我不需要删除和创建新的电子邮件地址是否正确？我还假设该域会被广泛列入黑名单？我应该移动托管公司吗？这会有所作为吗？

无论哪种方式，我都会实施 DKIM。

抱歉有这么多问题，我只是有点迷路，因为欺骗者没有针对特定的电子邮件地址。

谢谢

我有一个 Tikona 数字宽带（基于 WiMax）互联网连接，它允许一次连接有限数量的设备，并且还要求用户在开始浏览互联网之前使用用户名和密码登录（通过访问每个设备上的浏览器页面） .

如果要使用超过允许数量的设备，则必须从其门户中删除一些以前的设备。他们使用 MAC 地址跟踪这些设备。

实际上，他们在我大楼的屋顶上有一个无线设备，它有一条 CAT5 电缆连接到我房间里的一个有源设备。此供电设备的另一根 CAT5 电缆将连接到我的笔记本电脑或无线路由器。

我有一个Beetel 450TC1 ADSL + 无线路由器，来自我以前的连接，我目前在桥接模式下使用它能够无线浏览。路由器的 DHCP 也被禁用，我的设备直接获得 ISP 设备分配的 IP。

我有这些问题/疑问：

1) 每台设备都需要使用浏览器输入用户名和密码，这限制了一些设备如备份设备、个人云设备、媒体服务器、下载盒等无法连接到互联网，因为它们没有浏览器。

2) 由于这些设备从 ISP 获得 IP，我无法从我的笔记本电脑访问它们，因为它不是静态 IP，也无法找出分配给这些无头设备的内容。

3) 我怎样才能让我当前的路由器（或新路由器）能够在开机时自动登录到 ISP 的页面，为我的设备和笔记本电脑维护一个本地 IP 池，然后可以通过我的路由器欺骗 MAC 地址访问互联网？

在我的一些需要在 LAN 外部访问的生产系统上，我有时会在边缘添加防火墙限制，以仅允许来自特定源 IP 地址或块的 RDP 流量。当然，IP 需要是静态的（或者我需要在它发生变化时更新它）但我的问题是，作为防止攻击者访问该系统的一种手段，它的可靠性如何？在 RDP（最常见）的情况下，仍然存在用户名/密码身份验证，但是依赖这些基于 IP 的防火墙限制是不是一个坏主意？

我最初的想法是 IP 欺骗在拒绝服务中更有用，当你并不真正关心数据包返回到发起者时，但就获得提升的访问权限而言，攻击者真的那么容易欺骗他的 IP并以某种方式将数据包路由回他的真实地址？