MTA's poor reputation: да я вижу браток ты спамер простой?:)

MTA's poor reputation: да я вижу браток ты спамер простой?:) При отправке почты на некоторые забугорные сайты (особенно те что на www.godaddy.com) можем напороться на "Your access to this mail system has been rejected due to the sending MTA's poor reputation" в логе /var/log/maillog

Просматривая отчеты выделенного сервера одного из наших клиентов, наткнулся на ошибку доставки почты на один из заграничных хостов по причине "554 Your access to this mail system has been rejected due to the sending MTA's poor reputation.":

Mar 19 02:31:48 maindemon postfix/smtp[8468]: AB3DB4DA8B: host 
smtp.secureserver.net[216.69.186.201] refused to talk to me: 
554-m1pismtp01-034.prod.mesa1.secureserver.net 554 Your access to this mail system 
has been rejected due to the sending MTA's poor reputation. If you believe that 
this failure is in error, please contact the intended recipient via alternate means.

Начинаем расследовать... Проверяемся в БД спамеров, хотя ещё раньше проверяли и было всё ок:

Там своего IP не наблюдаем? Нет! Куда ещё копать? Чей это ИП 216.69.186.201? Ага - это IP принадлежит godaddy.com. Контактируем с godaddy.com и спрашиваем "вай май MTA's poor reputation"?;( и получаем ответ типа:

The Domain Name Abuse Department has responded to your inquiry, details of 
which are described below:
 
Discussion Notes 
Support Staff Response 
Dear Sir or Madam, 
 
Thank you for contacting Go Daddy's Network Abuse Department. Please go to 
http://unblock.secureserver.net and submit an unblock request so that our email 
administrators may investigate this issue further. 
 
Thank you for your cooperation. 
 
Sincerely, 
Network Abuse Department 
 
GoDaddy.com 

Мол подайте запрос на разблокировку на странице http://unblock.secureserver.net, там же рекомендуется проверить, содержит ли наша обратная ДНС запись (так званая PTR или rDNS record) "mail", "SMTP", "relay", or "MX":

What can I do if my IP address is blocked?
 
We recommend that you troubleshoot some common problems that might be causing 
your IP address to be blocked. This can help to prevent your IP address from 
getting blocked in the future. Two common solutions are:
 
Complete a thorough virus scan on all servers and computers behind the blocked 
IP address.
 
Verify that your rDNS contains a name that includes "mail", "SMTP", "relay", 
or "MX". For example: mail.example.com, smtp.example.com, or mx1.example.com.

Сразу после отправки запроса о разблокировке ИП в браузер получено сообщение о том, что ИП не заблокирован в текущий момент и возможно был разблокирован по предыдущей заявке - ок, а что ж тогда не так, "вай май MTA's poor reputation"?

Потому как у некоторый возможны свои вывихи/завихи/за.обы и они могут не принимать почту от доменов, у которых нет ДНС записи MX указывающей на домен отправителя (т.е. если домен получателя (в MX записи) отличается от домена отправителя), то действуя на опережение мы в наш домен добавим несколько ДНС записей типа MX (на всяк случай):

Хост     Тип        Значение записи        Приоритет
---------------------------------------------------------
relay     A         ххх.ххх.ххх.ххх
smtp      A         ххх.ххх.ххх.ххх
 
@         MX        mx.yandex.ru                10
@         MX        relay.domain.com            50

Где ххх.ххх.ххх.ххх это ИП нашего домена domain.com, а MX указывающая на relay.domain.com с более низким приоритетом (чем больше значение, тем ниже приоритет MX записи), чем первая (другая) MX с приоритетом (более высоким) 10. Например MX mx.yandex.ru это реальный почтовый сервер для почты домена domain.com, а MX relay.domain.com с пониженным приоритетом для отвода глаз.

Теперь убеждаемся, что соблюдены условия перечисленные ниже:

  • Для домена прописана PTR запись (PTR-ы, которые не имеют в зоне прямого просмотра соответствующих им A-record НЕ ДЕЙСТВИТЕЛЬНЫ);
  • FQDN сервер исходящей почты однозначно должен иметь A запись указывающую на внешний IP-адрес сервера исходящей почты;
  • В EHLO отдается то же самое, что прописано в PTR записи - т.е. FQDN нашего домена;
  • Сервер исходящей почты указан в SPF записях для всех доменов, через которые разрешена отправка/пересылка почты;
  • MX запись должна указывать на FQDN сервера входящей почты;
  • Исходящая почта подписана DKIM подписью (необязательно, но очень желательно!).

Ждём пару суток... Проверяем /var/log/maillog и всё равно при отправке почты на некоторые заграничные сайты видим "554 Your access to this mail system has been rejected due to the sending MTA's poor reputation." - фак!;(

Снова и снова возвращаясь на страницу http://unblock.secureserver.net я обратил внимание на ссылки расположенные в левом верхнем углу, среди которых была ссылка на ещё незнакомый мне сайт Cisco IronPort SenderBase Security Network. Там же есть раздел "Reputation Look Up" по результатам проверки которого ИП сервера оказался в категории "poor reputation".

IronPort это компания, которая была основана Scott Banister в 2000 году и занималась разработкой решений по безопасности сети - её клиентами были такие компании как Hotmail, eGroups, ListBot и Yahoo! Известна своим продуктом IronPort AntiSpam на базе репутаций почтовых отправителей из SenderBase

С 25 июня 2007 года IronPort была приобретена и интегрирована в подразделение безопасности Cisco. С тех пор IronPort AntiSpam является встроенной в различные продукты Cisco (Цисько:).

Cisco IronPort – это комплексные решения для защиты почтового трафика от спама и вирусов ака IronPort Email Security Systems (Cisco Email Security Appliances). Устройства IronPort (шлюзы безопасности) обладают широким функционалом, который включает в себя различные механизмы антивирусной, антиспамовой и контентной фильтрации трафика, что даёт возможность заменить множество различных решений единым:

MTA's poor reputation: да я вижу браток ты спамер простой?:)

Среди ключевых возможностей Cisco IronPort такие как:

  • Защита от спама
    • Репутационная фильтрация трафика - производится оценка угроз в режиме реального времени, идентификация отправителя на основе данных SenderBase.
    • Антиспам фильтрация - использование уникального механизма (CASE) адаптивного контекстного сканирования.
    • Карантин сообщений - возможность администрирования для конечного пользователя.
  • Защита от вирусов
    • Проактивная антивирусная идентификация, фильтрация блокирование вирусов.
    • Антивирусное сканирование McAffee, Sophos.
    • Virus Outbreak Filters - уникальный механизм защиты от неизвестных вирусов.
  • Политики информационной безопасности
    • Новое поколение фильтров соответствия стандартам информационной безопасности HIPAA, SOX, GLB и др.
    • Шифрование почтового трафика, которое обеспечивает защищенный обмен почтовыми сообщениями между почтовыми ящиками и устройствами IronPort.
  • Целостность почтовых сообщений
    • Технология доменных ключей ака DKIM на основе цифровой подписи.
    • Защита директорий от атак. Предотвращение кражи информации про внутреннюю структуру директорий.
  • Функции управления
    • Email Security Manager предоставляет графический инструмент для управления системой защиты электронной почты.
    • Централизованное управление.
    • Email Security Monitor для мониторинга и составления отчетов о почтовых угрозах.

Cisco IronPort (Циська ЖелезныйПорт) построена на основе операционной системы AsyncsOS, которая работает на модифицированном ядре FreeBSD. Эффективно работает для защиты от графического и русскоязычного спама - успешно отсеивает более 95%.

MTA's poor reputation: да я вижу браток ты спамер простой?:)

Существуют различные модели, которые предназначены для сетей различного масштаба:

  • IronPort X1060 - Решение по защите систем электронной почты провайдерского класса.
  • IronPort C660 - Для защиты систем электронной почты предприятия с количеством пользователей свыше 5000.
  • IronPort 360/360D - Для защиты систем электронной почты предприятия с количеством пользователей от 1000 до 5000.
  • IronPort C150 - Для защиты систем электронной почты предприятия с количеством пользователей до 1000.

Активация на "Циське" фичи для фильтрации почтового трафика по SenderBase описана в разделе "Configuring the Gateway to Receive Email - The Host Access Table (HAT): Sender Groups and Mail Flow Policies - Mail Flow Policies: Access Rules and Parameters" мануала "Cisco IronPort AsyncOS 7.3 for Email Security Configuration Guide" на стр. 113 - "Use SenderBase for Flow Control: Enable “look ups” to the IronPort SenderBase Reputation Service for this listener."

Symantec тоже не отстаёт и выпускает свои шлюзы для безопасности почтового трафика "Symantec Messaging Gateway 8300 Series" ака "Brightmail Gateway" и имеет свои средства контроля репутации "Symantec: IP Reputation Investigation".

MTA's poor reputation: да я вижу браток ты спамер простой?:)

Итак... В особо паронаидальных случаях, когда используются устройства (шлюзы) комплексной защиты трафика используются не публичные БД спамеров, а свои собственные заточенные под конкретный тип устройства (шлюза):

В нашем случае с "Symantec: IP Reputation Investigation" у нас нет проблем, а вот в "Cisco IronPort SenderBase Security Network" наш ИП отмечен как "poor reputation". Хоть на SenderBase и сказано, что мол "Репутация вашего ИП восстановиться автоматически после устранения нарушений", но на самом деле не факт - ИП клиента уже как месяц под нашим контролем и с самого начала был проверен по всем возможным БД спамеров, а репутация (SBRS - SenderBase Reputation Scores) и ныне там "poor reputation". Для урегулирования нужно контактировать с тех. поддержкой SenderBase с мотивированной просьбой о смене репутации и надеяться на положительное решение.

Ссылки по теме


Добавить комментарий


Защитный код
Обновить

2 megabytes