通过cpanel停止电子邮件欺骗

时间:2014-08-06 20:32:02

标签: email spoofing

有人发送垃圾邮件并使其看起来像是从我的域发送的。如何通过cpanel停止此电子邮件欺骗。我在某处读到了SPF。

以下是我在cpanel中的SPF所说的

Your current raw SPF record is : v=spf1 +a +mx +ip4:ipaddress -all

我该怎么做才能防止这种情况发生?

2 个答案:

答案 0 :(得分:2)

您无法阻止他们发送欺骗性电子邮件。您可以发送电子邮件,让它看起来像来自任何地方,以及您的外发电子邮件服务器(如果配置为接受它,垃圾邮件发送者显然会这样),它将接受它。添加SPF记录可能会减少人们收到的电子邮件数量。

您需要在DNS中添加(或附加)到TXT记录。

v=spf1 include:your.email.domain.here -all

您可以添加另一个包含更多域:例如:

v=spf1 include:blah1.blach1.com include:blah.blah.com -all

希望有所帮助!电子邮件基本上是现存最不安全的协议。

答案 1 :(得分:0)

你绝对可以停止欺骗。已经做了30多年(在cpanel等之前)。

关于欺骗 - 要求所有用户在发送之前进行身份验证,这是停止在sendmail上进行欺骗的最简单方法(请参阅下面的欺骗和伪造之间的区别)。如果您试图阻止伪造,CPANEL(WHM)界面中有工具可用于需要的FQDN,EHLO,DKIM等以及其他可以帮助您解决此问题的设置。

另外,请检查此帖子:https://www.webhostingtalk.com/showthread.php?t=669800

有关如何在非cpanel系统上停止它的更多信息,请继续阅读。这些概念将帮助您了解cpanel系统上的更改内容。

打击欺骗的关键规则是,没有通过您的MTA发送的电子邮件不会出现在受信任的情况下#34; (例如,内部)网络应该允许发送和接收域相同。单独这将停止所有欺骗。放置此规则后,您将再添加2个规则。第一个说内部"信任"网络免于此规则(从而使外部网络受到影响)。第二个规则是任何验证的外部连接(用户名/密码等)都免于此规则。这使您的旅行销售团队可以通过您的公司服务器发送/接收电子邮件。

使用sendmail,您必须要求所有连接发送FQDN并且所有FROM / TO地址都是完全限定的(因此您可以检查域部分)。

在sendmmail.cf中:

PrivacyOptions=needmailhelo,needexpnhelo,needvrfyhelo,restrictqrun,restrictexpand,nobodyreturn,authwarnings

默认情况下,Sendmail 8.9及更高版本从任何未被视为" localIp"的网络中继。通过checkrcpt()例程被拒绝。所以外部电子邮件应该只是"入站" (除非经过身份验证)并且不应该有与您的域匹配的发送域(除非经过身份验证)。

锻造与欺骗

关于"锻造"存在很多困惑。和#34;欺骗"。伪造是指有人发送声称来自一个域的电子邮件,但实际上并非如此(例如假冒PayPal的人)。欺骗是指将网络外部的电子邮件(例如,企业防火墙外部)发送给网络内的某个人,并且发件人和收件人都具有相同的域。如果没有外人需要使用身份验证来绕过拒绝,这应该永远发生。原因是,如果您控制电子邮件网络,网络外的任何人都不应该代表您发送电子邮件而不知道它。如果你知道它,那么有各种方法来调整设置以允许它。但调整MX,SPF记录等以阻止欺骗是错误的。那是为了识别和制止伪造。

在我们讨论更详细地解决欺骗之前,阻止伪造的最佳方法是:

  1. 要求EHLO与fqdn验证发件人PTR记录匹配和
  2. 如果不验证SPF那么使用Domainkeys / DKIM会很好,但是RFC 声明如果Domainkey / DKIM无法进行验证,那么你应该这样做 认为它不在那里(因此无效的DKIM应该是这样) 忽略了......令人沮丧。如果你决定阻止电子邮件 糟糕/缺少DKIM你几乎会阻止所有使用ON365的人 几乎普遍错误配置。
  3. 使用您的访问地图阻止您的国家/地区等 永远不要期望收到电子邮件
  4. 更新防火墙以阻止您知道存在问题的网络。
    5. 多年来,我学到了很多经验教训,因为我为世界上一些最大的集群/网络/提供商和一些最知名的网络公司管理了电子邮件。电子邮件本身并不是一个孤岛。这需要与您的DNS和防火墙团队紧密集成,并且诸如水平分割DNS,DMARC,DKIM,SPF和良好干净的A / PTR记录等基础知识对于帮助管理有效电子邮件的流和身份验证至关重要。不允许来自外部的任何人连接到端口25以中继电子邮件(除非经过身份验证)。只有内部用户才能发送OUT,外部用户才能发送IN。如果内部有人向内部的某个人发送信息,那么他们就会在内部邮件服务器端口25上进行连接,并且它已经被信任了#34;。

    最好的配置就是这样(与你的MTA无关):

    1. mailserver在物理防火墙内。
    2. 梭子鱼或其他反垃圾邮件服务器也在防火墙或dmz内。
    3. 端口25进入你的邮件服务器是被阻止的,但是 允许使用反垃圾邮件/垃圾邮件设备
    4. 您的MX树已设置好,以便您的邮件服务器是主服务器,但是 因为无法从外面到达,所以每个人都会堕落 返回您的辅助设备(这是您的反垃圾邮件设备)。
    5. 只应使用反垃圾邮件设备或内部信任系统 允许直接连接到您的邮件服务器。
    6. 使用防火墙阻止任何内部系统发送电子邮件 直接在外面(除非你有充分的理由)并强迫他们 所有要通过你的内部邮件服务器到外面(这是 防止互联网和每个ISP上的垃圾邮件的头号方法 应该这样做)

      7. 此外,如果您正在使用交换,这将打破入站电子邮件,因为交换需要更多MX详细信息SOOOO(无论如何它都是个好主意),您需要在最高的邮件服务器上创建域级MX优先级,但您还需要创建主机级MX,如下所示(exch01是您的主邮件服务器):

      @              IN       MX      10       exch01.mydomain.com.
@              IN       MX      20       barracuda.mydomain.com.
@              IN       MX      30       tertiary.externalmxprovider.xyz
exch01         IN       MX      10       exch01.mydomain.com.
exch01         IN       MX      20       barracuda.mydomain.com.
exch01         IN       MX      30       tertiary.externalmxprovider.xyz
barracuda      IN       MX      10       barracuda.mydomain.com.

      确保在DNS内部和外部公布此信息。

      我还建议您使用垃圾邮件防火墙作为公司电子邮件的出站转发,这样您就可以防止发送垃圾邮件(如果员工的计算机遭到入侵)。只需配置您的内部邮件服务器即可使用反垃圾邮件设备作为您的智能中继服务器#34;出境邮件。

      如果您需要帮助,请告诉我们。乐于帮助。我很乐意帮助处理任何电子邮件,DNS或防火墙配置问题(dmarc,dkim,spf,etcx。)

      大卫

相关问题
最新问题