spamhaus.org блокирует наш IP, потому что мы используем несколько несвязанных значений HELO.

Вопрос или проблема

spamhaus.org блокирует наш IP, потому что мы отправляем почту, используя несколько доменных имен с одного IP.

Сообщение:

Устройство (компьютер, сервер, мобильный телефон и т. д.) или приложение на устройстве, использующее aaa.bbb.ccc.ddd, заражено, неправильно настроено или скомпрометировано. Оно устанавливает SMTP-соединения с несколькими несвязанными значениями HELO на порту 25.

Последнее обнаружение было: 18 мая 2022 года, 10:20:00 UTC (+/- 5 минут). Наблюдаемые значения HELO были xxx yyy zzz ,…

У нас много разных доменов для электронной почты (один клиент = один домен), и все письма отправляются с одного IP (несколько разных серверов используют один интернет-шлюз).

Как нам следует решить эту задачу? В настоящее время мы используем exim4 в качестве почтового сервера на нескольких серверах.

Вы настроили его для представления разных имен HELO для каждого обслуживаемого домена? Это действительно плохая идея. Вот почему Spamhaus злится на вас.

Ваш сервер должен иметь определенное FQDN, по крайней мере для почтовой службы, скажем mail.example.org;
настроить это имя FQDN как единственное постоянное имя HELO, которое всегда представляется MTA, независимо от того, какую почту домена он сейчас передает;
это имя должно иметь записи A или AAAA, которые разрешаются в IP-адрес сервера, например, mail.example.org. A 192.0.2.1;
сервер использует этот или другой IP-адрес при установлении исходящих соединений. Обратный DNS-запрос этого исходящего IP-адреса должен указывать на этот же FQDN, например, 1.2.0.192.in-addr.arpa. PTR mail.example.org.;
в идеале, активируйте STARTTLS и используйте SSL-сертификат, который действителен для этого FQDN, например, CN=mail.example.org и поле SAN содержит DNS:mail.example.org или DNS:*.example.org.

И затем вы указываете этот FQDN в записи MX обслуживаемых доменов, вот так: example.com. MX 10 mail.example.org. (не забудьте настроить SPF, DKIM, DMARC записи тоже).

Обратите внимание, вы не можете иметь несколько записей PTR для одного IP-адреса; технически вы можете, но это не будет работать так, как вы ожидаете. Некоторые почтовые серверы проверяют, чтобы эти три элемента (HELO, прямой DNS-запрос для имени HELO и обратный DNS-запрос для вашего IP) совпадали, и блокируют сообщения, если они не совпадают. Это частично объясняет, почему вы не должны изменять имя HELO для каждого сообщения.

Это по существу то же самое, что этот ответ в связанной “Канонической вопросе”
Spamhaus выдал аналогичное предложение, однако, я думаю, их инструкции не так ясны

Ответ или решение

Чтобы решить проблему блокировки вашего IP адреса сервисом Spamhaus из-за использования множественных несвязанных значений HELO, важно понять, что происходит и как это влияет на вашу ситуацию. Далее мы углубимся в теорию, приведем пример и обсудим практическое применение рекомендаций.

Теория

Система антиспам защиты Spamhaus использует анализ HELO/EHLO команд для идентификации подозрительных серверов. HELO это команда, используемая в протоколе SMTP, которая обозначает начало соединения и указывает имя отправителя. Идеально, HELO-команда должна содержать полное доменное имя (FQDN – Fully Qualified Domain Name) сервера, который отправляет почту.

Когда один IP использует множество несвязанных HELO-записей, как в вашем случае, это приводит к подозрительности. Дело в том, что подобное поведение обычно характерно для скрытых или неправильно настроенных серверов, которые могут быть использованы спамерами или злонамеренными акторами. По этой причине Spamhaus блокирует такие IP адреса, чтобы предотвратить возможную вероятность рассылки спама или атак.

Пример

Рассмотрим гипотетический пример. У вас есть сервер с IP адресом 192.0.2.1, который обрабатывает почту для множества различных доменов, например, customer1.com, customer2.net и так далее. При этом каждый из этих доменов использует уникальное HELO значение, например, mail.customer1.com и mail.customer2.net. Если Spamhaus видит, что с одного и того же IP исходит множество разных HELO значений, он может интерпретировать это как подозрительное поведение и внести IP в свой черный список.

Применение

Для решения этой проблемы вам необходимо оптимизировать настройку вашего почтового сервера. Вот пошаговое руководство:

Установите единый FQDN для вашего сервера: Настройте ваш почтовый сервер так, чтобы он всегда использовал одно и то же FQDN имя, например, mail.example.org, несмотря на то, какой конкретно домен отправляет сообщение.
Настройте правильные DNS записи:
- Убедитесь, что A или AAAA записи этого FQDN указывают на IP адрес вашего сервера (например, mail.example.org. A 192.0.2.1).
- Проверьте, чтобы обратный PTR запрос для вашего IP также возвращал этот же FQDN (например, 1.2.0.192.in-addr.arpa. PTR mail.example.org).
Усиление безопасности: Активируйте STARTTLS и используйте SSL-сертификат, который валиден для вашего FQDN (например, CN=mail.example.org и SAN с DNS:mail.example.org).
Записи MX и SPF:
- Убедитесь, что в MX записях всех обслуживаемых доменов указывается ваше единое FQDN: например, example.com. MX 10 mail.example.org.
- Настройте поддерживающие записи такие как SPF, DKIM и DMARC для повышения доверия к вашим отправленным сообщениям.
Консультация с документацией и экспертами: Проанализируйте документацию от Spamhaus и других значимых экспертов, например ServerFault, которые детально обсуждают подобные сценарии.

Ключевой аспект здесь — консистентность и прозрачность вашей почтовой конфигурации. Если ваши HELO значения будут постоянно соответствовать DNS данным вашего сервера, это повысит уровень доверия к вашим SMTP соединениям и снизит вероятность блокировок со стороны систем защиты от спама.

Настройка почтового сервера может быть технически сложной задачей, но правильная конфигурация поможет создать надежную и безопасную почтовую инфраструктуру, что особенно актуально для защиты вашей репутации и надежности доставки электронных писем.