随着大量垃圾邮件遍布全球,管理员越来越需要知道其IP地址被列入黑名单的潜在原因。 垃圾邮件发送者试图使用各种各样的技巧发送尽可能多的垃圾邮件而不泄露身份。 要做到这一点,需要多种技术,包括使用恶意软件、使用僵尸网络、伪造邮件标题、利用电子邮件系统和网络基础架构的弱点。 对垃圾邮件发送者来说,发送成千上万封垃圾邮件几乎不划算,即使一小部分人点击链接或购买垃圾邮件广告的产品,垃圾邮件发送者也能从中获益。
如果电子邮件基础架构保护不佳,可能会感染恶意软件,成为垃圾邮件僵尸网络的一部分。 即使服务器没有感染恶意软件,如果防火墙和邮件服务器安全设置不正确,IP地址也可能会被列入黑名单。 为了避免列入黑名单,请考虑以下事项:
1 .需要强密码
垃圾邮件发件人通常在邮件服务器上执行词典攻击。 字典攻击使用很多单词来猜测密码并试图劫持帐户。 通常被用作密码。 要解决此问题,用户必须始终使用强大的密码。 请勿使用“password”、邮箱用户名完全匹配等密码。 用户必须使用包含大小写、数字和符号的密码。 在“MDaemon远程管理”中,可以将“设置-帐户设置-密码”设置为使用强密码。 新版本的MDaemon允许您检查可能泄露的密码。
MDaemon远程管理中的密码设置
需要SMTP认证
建议所有用户使用SMTP认证。 在“MDaemon远程管理”下,导航到“安全-发件人认证-SMTP认证”。 接下来,选中“从本地帐户发送邮件时始终要求验证”,并确保未选中“除非发送到…本地帐户”。
MDaemon远程管理中的SMTP认证设置
3 .不允许转播
通过邮件服务器发送非本地帐户邮件和非本地帐户邮件。 垃圾邮件发送者通常使用开放中继,因此必须避免服务中继邮件。 在MDaemon远程管理中,导航到安全-安全设置-中继控制,选中以下三个框:
不允许转播
如果使用本地域,则必须存在SMTP MAIL地址
如果使用本地域,则必须存在SMTP RCPT地址
不建议在此屏幕上选择排除框。
MDaemon远程管理中的中继控制设置
4 .确保有有效的PTR记录
此记录将发送公用IP与邮件服务器名称、完全限定域名或FQDN(mail.example.com)匹配,以便ISP创建此记录。 使用PTR记录,接收服务器可以在连接的IP地址上执行反向DNS搜索,以确保服务器名称与启动连接的IP地址相关联。
在cmd上运行以下命令以检查是否存在有效的ptr记录:
查询域名MX:nslookup-Qt=MX your domain.com
对应于查询的a记录: (以mail exchanger=mail.your domain.com为例,nslookup-Qt=amail.your domain.com
联系相应IP的PTR记录: (以mail.yourdomain.com: 1.2.3.4为例,nslookup -qt=ptr 1.2.3.4
有记录时:4.3.2.1. in-addr.arpaname=mail.your domain.com表示记录有效且一致
如果解析不符合FCrDNS,则必须查询邮件服务器出口IP的PTR记录是否存在并匹配。
满足FCrDNS样本
5 .设置SPF记录
许多域在域名系统(DNS )中发布MX记录,以标识允许接收该域消息的服务器位置,但不标识允许发送域消息的服务器位置。 使用SPF,域还可以发布发件人记录,以标识有权发送邮件的服务器的位置。 通过对传入邮件执行SPF查询,MDaemon尝试确定发送服务器是否有权向所谓的发送域发送邮件,并确定发送者地址是否可能是伪造的或“假”。 有关具体设置和发现方法,请参阅如何设置SPF记录
6 .配置IP保护
IP保护包含与在SMTP会话期间使用MAIL From命令时检查的域名相匹配的IP地址列表。 来自所列域的SMTP会话仅在来自关联的IP地址时才被接受。 此功能位于“安全-发件人身份验证-IP保护”下。 对于可能从网络外部发送电子邮件的用户,可以通过选中不对经过认证的会话应用IP保护框来设置异常。
MDaemon远程管理中的IP保护设置
7 .启用SSL
安全套接字层(SSL )是一种加密邮件客户端和服务器之间连接的方法。 在“MDaemon远程管理”下,导航到“安全-SSLTLS”。 单击MDaemon,然后选中“启用SSL、STARTTLS和STLS”框。 另外,请确认下面的空白中有有效的证书。
MDaemon远程管理的SSL设置
8 .启用账户劫持检测
帐户侵占检测功能可用于限制
制帐户在给定时间内可以发送的消息数。此功能仅适用于经过身份验证的会话,并用于防止被盗用的帐户发送大量垃圾邮件。在“MDaemon远程管理”中,可以在“安全-屏蔽-劫持检测”下找到此设置。MDaemon远程管理中的账户劫持检测设置
9.启用SMTP屏蔽
与帐户劫持检测类似,SMTP屏蔽可用于基于来自IP地址的活动行为来阻止来自IP地址的连接。例如,SMTP屏蔽可用于阻止来自未能通过指定次数的身份验证尝试的IP或试图在给定时间内连接指定次数的IP的连接。在“MDaemon远程管理”中,可以在“安全-屏蔽-SMTP屏蔽”下找到此功能。
MDaemon远程管理中的SMTP屏蔽设置
10.使用DKIM签名消息
DomainKeys Identified Mail (DKIM) 是加密邮件验证系统,它能用于防范网络诈骗(伪造他人的邮件地址以假扮不同的邮件发件人)。 不仅如此,因为大多数的垃圾邮件都包含欺骗性地址,因此尽管 DKIM 不是专门设计用于反垃圾邮件的工具,但它们有助于显著减少垃圾邮件。DKIM 还能用于确保入站邮件的完整性,或确保邮件从离开签名邮件服务器到送达您的服务器之间中途未被篡改。换言之,有了 DKIM 密码验证系统,接收邮件服务器可以肯定到达的邮件是来自为其签名的服务器,且未以任何方式做过更改 。它通过提供签名者身份的肯定标识以及消息内容的加密来做到这一点。使用DKIM,可以创建私钥和公钥。,公钥将发布到签名域的DNS记录中,出站消息将使用私钥签名。然后,接收邮件服务器可以从邮件的DKIM-Signature标头读取此密钥,然后将其与发送域的DNS记录中的公钥进行比较。
您可以在MDaemon中直接创建DKIM的公共密码和私人密钥,并将公钥发布在DNS记录中。
DKIM的设置可以参考:如何设置DKIM签名
MDaemon远程管理中的DKIM签名设置
11.可信主机和可信IP
确保“可信主机和可信IP”屏幕上仅列出您信任的主机或IP。受信任的主机和受信任的IP不受各种安全设置的限制,因此,如果列出了您不完全信任的IP或主机,则服务器可能容易受到中继和垃圾邮件的攻击。在MDaemon中,此功能位于“安全-安全设置”中的”信任主机“和”可信的IP“.
12.阻止网络上的出站25端口
将防火墙配置为仅允许来自邮件服务器或垃圾邮件过滤器设备的25端口上的出站连接,网络上的任何其他计算机均不应被允许在端口25上发送出站数据。
记录网络上所有计算机上25端口上所有出站活动-有助于跟踪可能中继邮件的计算机。
13.使用静态IP
在邮件服务器上使用动态IP会引起各种问题。如果服务器失去其Internet连接,然后使用其他IP地址重新联机,则您的DNS记录仍将指向旧的IP地址。如果另一台计算机获得了您的旧IP地址,则可能会出现其他问题。例如,如果计算机在25端口上有正确配置的MTA,则您的邮件将被退回。如果计算机在25端口上具有开放的中继MTA,则您的邮件将由该计算机中继。如果机器在黑名单中,您的邮件将丢失。由于这些原因,我们建议在邮件服务器上使用静态IP。
如果遵循这些建议,则被列入黑名单的机会将大大减少。这些做法将有助于确保您不中继邮件,对通信进行加密,对用户进行身份验证以及垃圾邮件发送者无法从网络中发送邮件。