Спам от моего домена?

Question

[max_rip]

Есть домен, допустим domen.com

В общем начал получать письма от других почтовых серверов, вроде этого



Письмо

Hei f058b94f5@domen.com,<br><br>
Saat tämän viestin, koska haluamme ilmoittaa, että ryhmää (jokipojat), johon yritit ottaa yhteyttä, ei ehkä ole olemassa tai sinulla ei ole oikeutta lähettää viestejä kyseiseen ryhmään. Alla on muutamia muita mahdollisia syitä sille, että viestin lähettäminen ei onnistu:<br><br>
 * Saatoit kirjoittaa tai muotoilla ryhmän nimen väärin.<br>
 * Ryhmän omistaja on saattanut poistaa kyseisen ryhmän.<br>
 * Viestien lähettäminen ryhmään saattaa edellyttää ryhmään liittymistä.<br>
 * Kyseiseen ryhmään ei ehkä voi lähettää viestejä.<br><br>
Jos sinulla on kysymyksiä tästä ryhmästä tai muista Google-ryhmistä, käy ohjekeskuksessa osoitteessa http://groups.google.com/support/?hl=fi_FI.<br><br>
Kiitos<br><br>
Google Groups<br><br>
----- Original message -----<br><br>
Received: by 10.14.210.133 with SMTP id u5mr4393834eeo.2.1348256179672;<br>
        Fri, 21 Sep 2012 12:36:19 -0700 (PDT)<br>
Received: by 10.14.210.133 with SMTP id u5mr4393833eeo.2.1348256179663;<br>
        Fri, 21 Sep 2012 12:36:19 -0700 (PDT)<br>
Return-Path: <F058B94F5@domen.com><br>
Received: from  ([200.204.237.84])<br>
        by gmr-mx.google.com with ESMTP id d5si12333070eep.0.2012.09.21.12.36.17;<br>
        Fri, 21 Sep 2012 12:36:19 -0700 (PDT)<br>
Received-SPF: softfail (google.com: domain of transitioning F058B94F5@domen.com does not designate 200.204.237.84 as permitted sender) client-ip=200.204.237.84;<br>
Authentication-Results: gmr-mx.google.com; spf=softfail (google.com: domain of transitioning F058B94F5@domen.com does not designate 200.204.237.84 as permitted sender) smtp.mail=F058B94F5@domen.com<br>
From: "ADP Benefit Services" <F058B94F5@domen.com><br>
Subject: ADP Urgent Notification - Your Transaction Report<br>
To: <jokipojat@googlegroups.com><br>
Content-Transfer-Encoding: 8bit<br>
Content-Type: text/html; chars="utf-8"<br>
Date: Fri, 21 Sep 2012 16:36:15 -0200<br>
List-Unsubscribe: <mailto:7B6F1B3FC5D86B869@basetechnologies.be><br>
Message-ID: <20120921163615.BF9056876CDD77404651A.7A455A@FELIPEWIGMN-HP><br><br>
----- End of message -----<br>

Так как я администратор домена, то поставил галочку получать все письма, которые не дошли до адресата то начал их получать. Получается с левых ящиков моего домена шлется спам.

Заглянул в папку спам, а там целый рассадник спама который шлется уже мне на адреса типа F058B94F5@domen.com. При чем каждые 1-2 минуты.



SPF домена настроены v=spf1 include:_spf.google.com ~all

Answer 1

[smartlight]

ну так а зачем вам почта несуществующих ящиков?

Comments

[max_rip]

Иногда ошибаются, пару раз помогло.

[smartlight]

тогда терпите

Answer 2

[Олег Матрозов]

Как дополнение к SPF могу посоветовать добавить DKIM с обязательным ADSP, что бы принимающие сервера со спамом могли более эффективно отфильтровывать его и понимать, что рассыльщик — не вы. А так да, трудно что либо еще предложить в этой ситуации.

Comments

[Zoom_spb]

советую, были проблемы с некоторыми доменами (мы для них как спам, и от них письма не приходят), пока не добавил DKIM, тоже Google Apps

[max_rip]

Буду добавлять, но есть еще пару сервисов, которые шлют почту с сервера, надо будет к ним тоже добавить ключики.

Answer 3

[Андрей Буров]

SPF не требование, а рекомендация.

Почитайте как работает протокол SMTP и поймете почему такие письма могут ходить.
Поле From ничего толком не значит, оно равносильно полю Subject.

Comments

[max_rip]

Читал и понимаю, но вот как с этим бороться?

[Андрей Буров]

Как и с обычным спамом… либо пишите абузы, либо не обращайте внимания.

Answer 4

[Dmitry T.]

Любой может отправить письмо с любым пользователем на любой домен в MX для этого домена. Таков протокол SMTP :(

Судя по заголовкам:

Received: from ([200.204.237.84])
by gmr-mx.google.com with ESMTP id d5si12333070eep.0.2012.09.21.12.36.17;
Fri, 21 Sep 2012 12:36:19 -0700 (PDT)
Received-SPF: softfail (google.com: domain of transitioning F058B94F5@domen.com does not designate 200.204.237.84 as permitted sender) client-ip=200.204.237.84;

Вы получили письмо, для «вас» от «вас». С IP — 200.204.237.84, потому как у вас не запрещено принимать почту от вашего домена с иных IP кроме как указанных в SPF.
Чтобы запретить принимать почту от вашего домена с других IP попробуйте поставить -all, вместо ~all в SPF записи.

Comments

[saintech]

Да, только гугл вот что пишет по этому поводу:

Публикация записи SPF, в которой вместо аргумента ~all указан параметр -all, может вызвать проблемы с доставкой.

Answer 5

[xsash]

Ситуация один в один, даже примерная маска «отправителей» совпадает.
Бороться никак, поле «отправитель» фейковое.

Можно писать абузы на домены/провайдеров, с которых рассылается спам, но толку имхо не будет особого.

Comments

[max_rip]

Так самое обидное, что я один из таких доменов. Я сам получаю письма отправленные с фейковых адресов моего домена. Которые по каким-то причинам были отправлены мне назад, а так как я получаю все письма то иногда наблюдая их во входящих. Меня больше напрягает не размер папки спама, а его наличие с моего домена.

[xsash]

Ну все нормально, не напрягайтесь )

Answer 6

[Дмитрий]

так спам наружу все-таки рассылается?

Comments

[max_rip]

Да, но полностью аналогичный тому который я получаю.
случайный наборк букв и цифр@домен
Т.е. есть какой-то ботнет, который шлет спам от таких ящиков на другие домены с таким же набором букв.