Question

自发布以来，我一直在使用Google Apps FYD stackednotion.com。我发送的所有电子邮件都通过Google的服务器，我使用Gmail查看我的电子邮件。我之前没有遇到任何问题，但是最近我一直看到奇怪的反弹最终落入了所有账号。看起来有人正在使用我的域名发送垃圾邮件。我真的不希望我的域名被标记为坏名声，所以我该如何阻止它呢？

我已按照Google Apps上的指南在域中设置了SPF，DMARC和DKIM，这是我的区域文件：

; stackednotion.com [9548]
$TTL 86400
@   IN  SOA ns1.linode.com. luca.stackednotion.com. 2012072633 7200 7200 1209600 86400
@       NS  ns1.linode.com.
@       NS  ns2.linode.com.
@       NS  ns3.linode.com.
@       NS  ns4.linode.com.
@       NS  ns5.linode.com.
@           MX  1   ASPMX.L.GOOGLE.COM.
@           MX  5   ALT1.ASPMX.L.GOOGLE.COM.
@           MX  5   ALT2.ASPMX.L.GOOGLE.COM.
@           MX  10  ASPMX2.GOOGLEMAIL.COM.
@           MX  10  ASPMX3.GOOGLEMAIL.COM.
@           MX  30  ASPMX4.GOOGLEMAIL.COM.
@           MX  30  ASPMX5.GOOGLEMAIL.COM.
@           TXT "v=spf1 include:_spf.google.com ~all"
google._domainkey           TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDi19ipSdqDEpnJEWrVF7MarSLnlzXi0wPOHws2BY6oMQInbY5OHzdw9LcFr1biVvipErm4odyJfjZAIp5s8r6z50ZxQdW5Uwdy9krA1A9HMPaqVN+fm2xpntU//uXn0wD8sGc9CljYQIl+MusxQ690PfVGnAz/QeLqaZFxpHHmmQIDAQAB"
_dmarc          TXT "v=DMARC1; p=quarantine; rua=mailto:dmarc@stackednotion.com"
@           A   178.79.164.64
*           A   178.79.164.64
_xmpp-server._tcp       SRV 5 0 5269 xmpp-server.l.google.com.
_xmpp-server._tcp       SRV 20 0 5269 alt1.xmpp-server.l.google.com.

此处还有垃圾邮件的标题（有人试图将我挂在Zend邮件列表中，他们是什么样的病人？！？）：

To: <fw-docs-subscribe@lists.zend.com>
Subject: Invoice #48469883494
From: "Order" <F776387@stackednotion.com>
Date: Sat, 28 Jul 2012 09:40:03 +0300
MIME-Version: 1.0
Content-type: text/plain; charset="iso-8859-1"
Content-Transfer-Encoding: 8bit
Message-ID: <20120728094003.9312B884F9D66F02CE7C@DELL-PC>

Answer 1

目前，减少犯罪分子send spam purportedly from your domain能力的方法是通知其他邮件服务器允许哪些服务器代表您的域发送邮件。机制为SPF，您已有SPF记录：

TXT "v=spf1 include:_spf.google.com ~all"

如果您希望阻止伪造尝试，可以改进。阅读描述您的SPF政策应该是什么的SPF Record Syntax page。如果您有其他邮件服务器代表您的域发送邮件，请将它们添加到SPF记录并将您的策略更改为失败：

TXT "v=spf1 include:_spf.google.com -all"

由于SPF如此广泛部署，这将有所作为。但SPF具有SPF策略失败的边缘情况（转发，电子邮件列表等），因此大多数网站选择使用SPF策略比您要求的更自由。例如，如果您的策略设置为拒绝，并且消息似乎来自电子邮件列表，则大多数服务器以某种方式对其进行标记（为此目的定义了Authentication-Results header）并允许其通过。

这是DMARC的用武之地。您已经添加了DMARC记录：

_dmarc TXT "v=DMARC1; p=quarantine; rua=mailto:dmarc@stackednotion.com"

您的策略仅用于隔离失败的DMARC邮件。如果DMARC报告没有指出任何有效的消息被阻止，和/或您愿意接受有效消息被拒绝的一些边缘情况，那么您可以通过p = reject来改进这一点。

毫不奇怪，从邮件服务器反弹声称来自我的某个域的垃圾邮件正是迫使我开始DKIM签署我的邮件，以便我可以部署DMARC。 DMARC是一种结合了SPF和DKIM的策略机制，因此域所有者可以向其他邮件服务器声明“如果它不是来自此IP列表（SPF）并且它不是DKIM签名的，那么[拒绝|隔离|允许]它。“

DMARC的工作非常出色。现在我收到DMARC报告，而不是获得退回邮件。我使用Mail::DMARC来解析报告并将摘要放入数据库中。

DMARC仍然是IETF的草案，并没有广泛部署。但是，大多数大型电子邮件提供商已经实施了它，并且覆盖范围非常好。在为我的域部署DMARC之后，我为Qpsmtpd编写了一个DMARC插件，因此我可以根据DMARC策略验证传入的消息。我在DMARC FAQ中以DMARC运算符的形式发布了一些我的发现。

我之前提到边缘案例，所以我觉得有必要分享一个。

Google通过将错误消息放入用户垃圾邮件文件夹来处理未对齐的消息（SPF和DKIM对齐失败的消息）。我已经熟悉了这一点，因为从我的域发送的电子邮件通常被gmail很好地处理。例外情况是通过某些电子邮件列表（例如dmarc-discuss@dmarc.org）转发的消息。我发送到该列表的消息被列表处理软件修改，使我的DKIM签名无效。当邮件转发给gmail收件人时，这些邮件被标记为垃圾邮件，因为a）我已发布拒绝DMARC政策，b）该电子邮件列表不是来自tnpi.net的电子邮件的有效SPF发件人，并且c）带有我的域名的DKIM签名未通过验证。

除了修复列表软件之外，还有一些解决方法，例如将违规的邮件列表服务器添加到我的SPF记录中。一些DMARC实现将检测来自邮件列表的消息并降低策略严重性（即，Google隔离我的列表消息而不是拒绝）。

目前，没有比使用良好实施的DMARC策略更好的方法来阻止使用您的域的网络钓鱼和欺骗尝试。

Answer 2

我注意到过去几周内这种欺骗行为也有所增加。

Google support page on this issue注释：

“由于这些邮件来自Gmail之外，我们无法阻止垃圾邮件发送者欺骗您的地址。但是，Google通过设计我们的系统来验证真正来自您的所有邮件，从而帮助保护您的Gmail地址的声誉。另一个域收到来自Gmail的未经身份验证的消息，它可以告诉您没有真正发送邮件，并且您的电子邮件地址不太可能被阻止。对于我们而言，我们担心欺骗和反弹。我们要求您通过选中不需要的邮件旁边的框并点击收件箱顶部的举报垃圾邮件，或打开邮件并点击邮件顶部的举报垃圾邮件来举报这些邮件。“

“您也可以通过spam@uce.gov向联邦贸易委员会发送这些非法邮件的完整标题来帮助阻止垃圾邮件发送者。”

Answer 3

Afaik，我们认为DMARC将帮助您实现这一目标。根据{{3}}，您应该开始使用“保守的部署周期”，如：

Monitor all.
Quarantine 1%.
Quarantine 5%.
Quarantine 10%.
Quarantine 25%.
Quarantine 50%.
Quarantine all.
Reject 1%.
Reject 5%.
Reject 10%.
Reject 25%.
Reject 50%.
Reject all.

所以，我的建议是停止隔离电子邮件，监控一段时间，然后开始上升。

Answer 4

您的邮件可能会反弹。因此，如果您在收到的同一帐户上收到邮件。尝试更改数据库中域控制管理员的权限。

垃圾邮件是使用我的域名发送的，我该怎么办？

4 个答案: