惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

The Hacker News
The Hacker News
Google Online Security Blog
Google Online Security Blog
K
Kaspersky official blog
D
Darknet – Hacking Tools, Hacker News & Cyber Security
S
Schneier on Security
C
Cybersecurity and Infrastructure Security Agency CISA
Security Archives - TechRepublic
Security Archives - TechRepublic
Hacker News - Newest:
Hacker News - Newest: "LLM"
Cisco Talos Blog
Cisco Talos Blog
Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
Recent Commits to openclaw:main
Recent Commits to openclaw:main
Cyberwarzone
Cyberwarzone
L
LINUX DO - 最新话题
PCI Perspectives
PCI Perspectives
酷 壳 – CoolShell
酷 壳 – CoolShell
云风的 BLOG
云风的 BLOG
N
News and Events Feed by Topic
N
News and Events Feed by Topic
V
Vulnerabilities – Threatpost
T
Troy Hunt's Blog
GbyAI
GbyAI
C
CERT Recently Published Vulnerability Notes
G
Google Developers Blog
Microsoft Azure Blog
Microsoft Azure Blog
量子位
Scott Helme
Scott Helme
月光博客
月光博客
Attack and Defense Labs
Attack and Defense Labs
aimingoo的专栏
aimingoo的专栏
博客园 - 聂微东
Project Zero
Project Zero
G
GRAHAM CLULEY
博客园 - 【当耐特】
Recorded Future
Recorded Future
K
KPMG report finds enterprise disconnect between AI and its ROI | CIO
小众软件
小众软件
D
DataBreaches.Net
T
The Blog of Author Tim Ferriss
OSCHINA 社区最新新闻
OSCHINA 社区最新新闻
O
OpenAI News
钛媒体:引领未来商业与生活新知
钛媒体:引领未来商业与生活新知
V
V2EX
Stack Overflow Blog
Stack Overflow Blog
爱范儿
爱范儿
S
Security @ Cisco Blogs
The Last Watchdog
The Last Watchdog
MongoDB | Blog
MongoDB | Blog
H
Hacker News: Front Page
Latest news
Latest news
P
Proofpoint News Feed

Dallas Lu

OpenWRT 使用 udp2raw 对抗 WireGuard 阻断 博客程序架构的思考与展望 如何证明你是原创作者 Nginx 泛域名配置的隐患与对策 WISeID S/MIME 证书 V2EX 刑满释放记 使用 Radicale 在 Ubuntu 24.04 中搭建 vCards CardDav 服务 网站多语言的设计细节 网站评论系统的目前进展和展望 在公网使用 iptables 转发端口时保留客户端 IP 邮件投递平台 Postal 的使用经验 自建 Postal 完美替代 SendGrid 互联网在崩塌吗,然后呢 在 SvelteKit 应用中使用 JSON-LD 网页的打印样式应该怎么写 “茴字的四种写法”之 IP 与域名 怎么伪造 Git 提交的时区 供大众交流的论坛和其它替代产品还是不好用 改编不是照搬 一次排查诡异的网络问题的经历 在 OpenWRT 23 中使用 nftset 配置 Shadowsocks 规则 使用自建 Tabby Web 来同步 Tabby 配置 手动建立自己的 IPv6 Tunnel 服务 在 PVE 手动配置网络及虚拟机 IPv6 公网 在 PVE 中缩小 Ubuntu 虚拟机的磁盘 Beancount 摊销与折旧的使用以及相关插件 Nginx 反代 Apache Subversion 添加 HTTPS 使用你的主域名作为 Mastodon 实例名 Firefox 和 Chrome 为何要革 EV 证书的命
邮件服务的域名成功从 SURBL 黑名单移除
达拉斯・卢 · 2024-10-15 · via Dallas Lu

当我正式切换到自托管邮箱的第一天,邮件服务的域名就进了 SURBL 的黑名单。算是在第一时间,就提交了 Removal 请求。经过数月的等待,终于成功从名单中移除。

发现

我使用了 Mail-in-a-box 搭建了自己的邮箱。尽管是运行在一台专用的服务器上,有独立 IP;但出于一些考虑,我使用了同内网的另一个有独立 IP 的节点,做了 SMTP 的端口映射。又为了测试送达率,Google 到一个服务,并尝试向其提供的数十个地址发送了测试邮件。

不久我就在 MX Toolbox 发现自己的域名被列入了黑名单。

申请移除

访问 https://surbl.org/surbl-analysis,并查询自己的域名,结果页面中会有申请的链接。填写了一个冗长的表单,并介绍了发送数十封测试邮件的缘由。

真实原因

接着,我从 Mail-in-a-box 附带的状态页中发现,队列中有数千封邮件。很快我意识到问题出在另一节点的端口映射上。

Mail-in-a-box 的提供的配置文件 /etc/postfix/main.cf 中有:

mynetworks_style=subnet

这会使得邮件服务器所在子网的其他主机,能够无需认证直接发送邮件1。前面所提到的简单端口映射,并没有将外部数据包的 IP 传送到邮件服务器。对于邮件服务器来说,这些攻击请求都来自于内网节点,从而跳过了验证,成为了一个公开的 SMTP 中继。

解决

问题出在端口映射,自然可以换用其他可以保留源 IP 的转发方案。更简单的办法是,改变邮件组件的默认行为:

mynetworks_style=host

而在裸奔期间,有近万封邮件从这个节点发出……

移除成功

然而,SURBL 填写 Removal 请求的机会只有一次,再次查询时只显示队列中已有一个移除请求,请等待处理。于是上面的后续并没有同步给 SURBL。

经过漫长的等待,终于收到了回信,给了十几个关于邮件服务器的实践参考链接。两个小时后,收到了移除成功的邮件。

影响

实际上,在被列入黑名单期间,对我发邮件并没有任何影响。也许是因为这是作为私人邮箱用途,仅被一家黑名单收录,只是增加了一点点的 Spam 评分而已。

结语

很多人不建议搞自托管邮箱,理由之一就是需要耗费精力维护自己的 IP/域名 的信誉。除此之外,一些大的邮件服务提供商,常被一些白名单收录,比如 Graylist。尽管我收到的垃圾邮件绝大部分都来自这些大提供商,但他们就是在白名单里。自托管就很难被白名单收录。

以前我认为自己不会陷入黑名单的魔咒,并希望在成功移除之后写一篇文章来记录过程。但现在只能写到这了,因为我刚刚发现,有一个叫做 UCEPROTECTL3 的黑名单,竟然收录了我的一个只收信不发信的 IP……


  1. https://www.postfix.org/postconf.5.html#mynetworks