Des spams sont envoyés en utilisant mon domaine, que puis-je faire ?

Question

Depuis sa sortie, j'ai utilisé Google Apps FYD pour stackednotion.com . Tous les e-mails que j'envoie passent par les serveurs de Google et j'utilise Gmail pour consulter mes e-mails. Je n'ai jamais eu de problèmes auparavant, mais récemment, j'ai constaté que des messages rebondis étranges aboutissaient dans le compte "catch all". Il semble que quelqu'un utilise mon domaine pour envoyer du spam. Je ne veux pas vraiment que mon domaine soit marqué d'une mauvaise réputation, alors comment puis-je empêcher cela ?

J'ai configuré SPF, DMARC et DKIM sur le domaine en suivant les guides sur Google Apps, voici mon fichier de zone :

; stackednotion.com [9548]
$TTL 86400
@   IN  SOA ns1.linode.com. luca.stackednotion.com. 2012072633 7200 7200 1209600 86400
@       NS  ns1.linode.com.
@       NS  ns2.linode.com.
@       NS  ns3.linode.com.
@       NS  ns4.linode.com.
@       NS  ns5.linode.com.
@           MX  1   ASPMX.L.GOOGLE.COM.
@           MX  5   ALT1.ASPMX.L.GOOGLE.COM.
@           MX  5   ALT2.ASPMX.L.GOOGLE.COM.
@           MX  10  ASPMX2.GOOGLEMAIL.COM.
@           MX  10  ASPMX3.GOOGLEMAIL.COM.
@           MX  30  ASPMX4.GOOGLEMAIL.COM.
@           MX  30  ASPMX5.GOOGLEMAIL.COM.
@           TXT "v=spf1 include:_spf.google.com ~all"
google._domainkey           TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDi19ipSdqDEpnJEWrVF7MarSLnlzXi0wPOHws2BY6oMQInbY5OHzdw9LcFr1biVvipErm4odyJfjZAIp5s8r6z50ZxQdW5Uwdy9krA1A9HMPaqVN+fm2xpntU//uXn0wD8sGc9CljYQIl+MusxQ690PfVGnAz/QeLqaZFxpHHmmQIDAQAB"
_dmarc          TXT "v=DMARC1; p=quarantine; rua=mailto:dmarc@stackednotion.com"
@           A   178.79.164.64
*           A   178.79.164.64
_xmpp-server._tcp       SRV 5 0 5269 xmpp-server.l.google.com.
_xmpp-server._tcp       SRV 20 0 5269 alt1.xmpp-server.l.google.com.

Voici également les en-têtes d'un message de spam (quelqu'un a essayé de m'inscrire à une liste de diffusion Zend, quel genre de malades sont-ils ? !?):

Return-Path: <F776387@stackednotion.com>
Received: (qmail 20117 invoked from network); 27 Jul 2012 06:51:01 -0000
Received: from exprod7mx200.postini.com (HELO psmtp.com) (64.18.2.92)
  by rsmx2.zend.com with SMTP; 27 Jul 2012 06:51:01 -0000
Received: from source ([188.51.41.223]) by exprod7mx200.postini.com ([64.18.6.13]) with SMTP;
        Fri, 27 Jul 2012 02:51:00 EDT
To: <fw-docs-subscribe@lists.zend.com>
Subject: Invoice #48469883494
From: "Order" <F776387@stackednotion.com>
Date: Sat, 28 Jul 2012 09:40:03 +0300
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: IPS PHP Mailer
MIME-Version: 1.0
Content-type: text/plain; charset="iso-8859-1"
Content-Transfer-Encoding: 8bit
Message-ID: <20120728094003.9312B884F9D66F02CE7C@DELL-PC>
X-pstn-neptune: 500/484/0.97/100
X-pstn-levels:     (S: 0.00346/89.11253 CV:99.9000 FC:95.5390 LC:95.5390 R:95.9108 P:95.9108 M:97.0282 C:98.6951 )
X-pstn-dkim: 0 skipp

Answer 1

Actuellement, le moyen de réduire la capacité des mécréants est de envoyer du spam prétendument à partir de votre domaine est d'informer les autres serveurs de messagerie des serveurs autorisés à envoyer du courrier au nom de votre domaine. Le mécanisme est le suivant SPF et vous avez déjà un enregistrement SPF :

TXT "v=spf1 include:_spf.google.com ~all"

Si vous souhaitez bloquer les tentatives de falsification, il est possible de l'améliorer. Lisez le Page de syntaxe des enregistrements SPF qui décrit ce que doit être votre politique SPF. Si d'autres serveurs de messagerie envoient du courrier au nom de votre domaine, ajoutez-les à l'enregistrement SPF et modifiez votre politique pour qu'elle échoue :

TXT "v=spf1 include:_spf.google.com -all"

Comme le SPF est très largement déployé, cela fera une différence. Mais SPF a des cas limites (forwards, listes d'emails, etc.) où la politique SPF échoue, donc la plupart des sites choisissent d'être plus libéraux avec la politique SPF que vous le demandez. Par exemple, si votre politique est réglée sur le rejet et que le message semble provenir d'une liste d'adresses électroniques, la plupart des serveurs le signalent d'une manière ou d'une autre (l'indicateur de statut SPF). En-tête Authentication-Results est défini à cet effet) et de le laisser passer.

C'est là que DMARC vient dans. Vous avez déjà ajouté un enregistrement DMARC :

_dmarc TXT "v=DMARC1; p=quarantine; rua=mailto:dmarc@stackednotion.com"

Votre politique consiste uniquement à mettre en quarantaine les messages DMARC défaillants. Si les rapports DMARC n'indiquent pas que des messages valides sont bloqués, et/ou si vous êtes prêt à accepter certains cas limites où des messages valides sont rejetés, vous pouvez améliorer cette politique avec p=reject.

Il n'est pas surprenant que le fait de recevoir des rebonds de serveurs de messagerie pour des spams prétendant provenir de l'un de mes domaines soit exactement ce qui m'a poussé à lancer l'initiative. DKIM pour signer mes messages, afin que je puisse déployer DMARC. DMARC est un mécanisme de politique qui combine SPF et DKIM, de sorte que les propriétaires de domaines peuvent affirmer aux autres serveurs de messagerie que "si le message ne provient pas de cette liste d'adresses IP (SPF) et qu'il n'est pas signé par DKIM, il doit être [rejeté|quarantaine|autorisation]".

DMARC fonctionne brillamment. Au lieu de recevoir des messages de rebond, je reçois maintenant des rapports DMARC. J'utilise Mail::DMARC pour analyser les rapports et mettre les résumés dans une base de données.

DMARC est encore un projet de l'IETF et n'est pas encore largement déployé. Cependant, la plupart des grands fournisseurs de messagerie l'ont mis en œuvre et la couverture est étonnamment bonne. Après avoir déployé DMARC pour mon domaine, j'ai écrit un plugin DMARC pour Qpsmtpd afin de pouvoir valider les messages entrants par rapport à la politique DMARC. J'ai publié certaines de mes découvertes en tant qu'opérateur DMARC dans un article intitulé FAQ SUR LE DMARC .

J'ai mentionné des cas limites plus tôt, je me sens donc obligé d'en partager un.

Google traite les messages mal alignés (ceux qui échouent à l'alignement SPF et DKIM) en les plaçant dans le dossier Spam de l'utilisateur. Je me suis familiarisé avec cette méthode car les courriels envoyés depuis mon domaine sont généralement bien traités par gmail. L'exception concerne les messages relayés par certaines listes de diffusion telles que dmarc-discuss@dmarc.org. Les messages que j'ai envoyés à cette liste sont modifiés par le logiciel de traitement des listes, ce qui invalide ma signature DKIM. Lorsque le message est transféré aux destinataires de gmail, ces messages sont marqués comme spam parce que a) j'ai publié une politique de rejet DMARC, et b) cette liste de courriel n'est pas un expéditeur SPF valide du courriel de tnpi.net, et c) la signature DKIM portant mon domaine échoue la validation.

Il existe des solutions de rechange, outre la réparation du logiciel de liste, comme l'ajout du serveur de liste de diffusion incriminé à mon enregistrement SPF. Certaines implémentations DMARC détectent les messages provenant de listes de diffusion et réduisent la sévérité de la politique (par exemple, Google met en quarantaine mes messages de liste au lieu de les rejeter).

À l'heure actuelle, il n'existe pas de meilleur moyen d'empêcher les tentatives de phishing et d'usurpation d'identité utilisant votre domaine qu'une politique DMARC bien mise en œuvre.

Answer 2

J'ai remarqué une augmentation de ce type d'usurpation au cours des dernières semaines.

Le site Page d'assistance Google sur ce problème notes :

"Comme ces messages proviennent de l'extérieur de Gmail, nous ne sommes pas en mesure d'empêcher les spammeurs d'usurper votre adresse. Toutefois, Google contribue à protéger la réputation de votre adresse Gmail en concevant ses systèmes de manière à authentifier tous les messages qui proviennent réellement de vous. Lorsqu'un autre domaine reçoit un message non authentifié de Gmail, il est en mesure de savoir que vous n'avez pas réellement envoyé le courrier, et il est peu probable que votre adresse électronique soit bloquée. Pour notre part, nous sommes préoccupés par l'usurpation d'identité et les rebonds. Nous vous demandons de signaler ces messages en cochant la case située à côté du message indésirable et en cliquant sur Signaler un spam en haut de votre boîte de réception, ou en ouvrant le message et en cliquant sur Signaler un spam en haut du message."

"Vous pouvez contribuer à arrêter les spammeurs en envoyant également les en-têtes complets de ces messages illégaux à la Federal Trade Commission à l'adresse spam@uce.gov."

Answer 3

A priori, DMARC est censé vous aider à atteindre cet objectif. Selon le Article de Google Apps sur DMARC vous devriez commencer à utiliser un "cycle de déploiement conservateur" comme :

Monitor all.
Quarantine 1%.
Quarantine 5%.
Quarantine 10%.
Quarantine 25%.
Quarantine 50%.
Quarantine all.
Reject 1%.
Reject 5%.
Reject 10%.
Reject 25%.
Reject 50%.
Reject all.

Donc, ma suggestion serait d'arrêter de mettre les emails en quarantaine, de surveiller pendant un moment et ensuite de commencer à remonter.

Answer 4

Il est possible que vos mails soient renvoyés. Donc si vous recevez des mails sur le même compte que celui d'où vous les envoyez. Essayez de changer l'autorité de l'administrateur du contrôle de domaine dans votre base de données.