Общие сведения об обновлениях

В Plesk есть инструменты, которые помогают защититься от спама:

• Антиспам SpamAssassin
• Черные списки DNS
• (Plesk for Linux) SPF, DKIM, and DMARC
• (Plesk for Linux) Greylisting
• (Plesk for Linux) Mail server black and white lists

Разные инструменты используют разные методы обнаружения. У них свои недостатки, и для их работы требуется разное количество ресурсов сервера. Вы можете использовать несколько сервисов одновременно. Это позволит эффективнее обнаруживать спам, но увеличит потребление ресурсов и вероятность ложного срабатывания.

При выборе инструмента или инструментов для фильтрации спама опирайтесь на ваш сценарий использования:

• Вы получаете спам с одного или нескольких конкретных адресов электронной почты и/или доменов.
• Вы получаете спам с разных адресов электронной почты и/или доменов.
• Вы хотите, чтобы письма с определенных адресов и/или доменов никогда не помечались как спам.
• Вы хотите, чтобы письма с вашего сервера не помечались как спам, или чтобы имя домена нельзя было подменить.

В зависимости от планируемого использования некоторые инструменты могут оказаться полезнее, чем другие. О том, какие инструменты и для чего можно использовать, подробнее рассказано ниже.

Если включены все инструменты, о которых рассказано в этой теме, то они срабатывают в порядке, указанном на рисунках ниже. Зеленая стрелка означает, что проверка пройдена, а красная — что проверку пройти не удалось.

Plesk для Linux

1. Имя домена отправителя проверяется на его наличие в черном списке почтового сервера. Если оно там есть, письмо не будет доставлено.
2. IP-адрес отправителя проверяется на его наличие в белом списке почтового сервера. Если он там есть, письмо пропускает проверку DNSBL.
3. Если IP-адреса отправителя нет в белом списке почтового сервера, проверяется его наличие в списках DNSBL. Если он там есть, письмо не будет доставлено.
4. Если это письмо отправлено первый раз, серый список временно дает отказ.
5. Если письмо отправляется повторно, оно проходит проверки SPF, DKIM и DMARC.
6. Если письмо прошло предыдущие проверки, оно сканируется SpamAssassin (за исключением ситуаций, когда адрес электронной почты отправителя или домен включены в белый список, или когда размер сообщения превышает допустимые лимиты SpamAssassin).

После этого письмо доставляется в почтовый ящик получателя.

Plesk для Windows

1. IP-адрес отправителя проверяется на его наличие в списках DNSBL. Если он там есть, письмо не будет доставлено.
2. Письмо сканируется SpamAssassin (за исключением ситуаций, когда адрес электронной почты отправителя или домен включены в белый список, или когда размер сообщения превышает допустимые лимиты SpamAssassin).

После этого письмо доставляется в почтовый ящик получателя.

Защита от спама с определенного адреса электронной почты или домена

Если с одного или нескольких адресов электронной почты и/или доменов не приходит ничего, кроме спама, самый просто вариант — заблокировать все сообщения от них.

(Plesk for Linux) Blocking all mail from a specific domain:

1. Войдите в Plesk.
2. Перейдите на страницу Инструменты и настройки и нажмите Настройки почтового сервера (в разделе «Почта»).
3. Перейдите на вкладку «Черный список».
4. Нажмите Добавить домен (или на значок , если в списке уже есть один или больше доменов).
5. Укажите имя домена (например, example.com) и нажмите ОК.

Почтовый сервер теперь не будет принимать входящие письма с указанного домена. Это касается и спама, и обычных писем.

(Plesk for Linux) Marking all mail from a specific email address or domain as spam:

1. Войдите в Plesk.
2. Перейдите на страницу Инструменты и настройки и нажмите Антиспам (в разделе «Почта»).
3. Убедитесь, что опция «Включить антиспам SpamAssassin для всего сервера» включена.
4. Перейдите на вкладку «Черный список».
5. Нажмите Добавить адрес, укажите адрес электронной почты (например, «example@example.com» или «*@example.com», чтобы отметить все письма с example.com как спам) и нажмите Сохранить.

SpamAssassin будет помечать все входящие письма с указанного домена как спам для всех учетных записей электронной почты, где установлен SpamAssassin. Это касается и спама, и обычных писем. Действие с письмом, которое SpamAssassin пометил как спам, зависит от настроек SpamAssassin (пометить письмо как спам, перенести в папку «Спам» или удалить его).

(Plesk for Windows) Marking all mail from a specific email address or domain as spam:

1. Войдите в Plesk.
2. Перейдите на страницу Инструменты и настройки и нажмите Антиспам (в разделе «Почта»).
3. Убедитесь, что опция «Включить антиспам SpamAssassin для всего сервера» включена.
4. Перейдите на вкладку «Черный список».
5. Нажмите Добавить домен (или на значок , если в списке уже есть один или больше доменов). Укажите адрес электронной почты (например, «example@example.com» или «*@example.com», чтобы все письма с example.com помечались как спам).
6. Укажите, что нужно сделать с письмами с почтовых адресов из списка (пометить как спам или удалить) и нажмите ОК.

SpamAssassin будет удалять или помечать все входящие письма с указанного домена или адреса как спам для всех учетных записей электронной почты, где установлен SpamAssassin. Это касается и спама, и обычных писем.

Защита от спама из всех источников

Если вы получаете спам с разных адресов электронной почты и/или доменов, защититься от него поможет целый арсенал инструментов. Они могут работать параллельно, поскольку у каждого инструмента свой способ распознавания спама.

(Plesk for Linux) Blocking Mail With Forged Sender Address

Часто злоумышленники маскируют спам под письма от реальных компаний и организаций. Соответственно, письма, которые не отправлены упомянутой в тексте письма компанией, не являются настоящими. SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) и DMARC (Domain-based Message Authentication, Reporting and Conformance) — три механизма, которые распознают такие письма. Рекомендуется использовать все три механизма, чтобы достичь наилучшего результата.

• SPF опирается на созданные владельцами доменов записи DNS типа TXT, в которых перечислены все имена доменов и IP-адреса, которым разрешено присылать почту. Почтовый сервер-получатель проверяет, что IP-адрес отправителя совпадает с записью A или AAAA одного из авторизованных доменов и/или ищет IP-адрес отправителя в списке в записи типа TXT. Если совпадений нет, проверка SPF не пройдена.
• DKIM опирается на цифровые подписи, которыми почтовый сервер подписывает исходящие письма, если владелец домена настроил его соответствующим образом. Поле «From» должно быть подписано, как и остальные части письма (это позволяет обнаружить, что письмо было перехвачено во время пересылки, а его содержимое изменено). Также подразумевается, что владелец домена создал запись DNS типа TXT с соответствующим открытым ключом. Почтовый сервер-получатель сверяет подпись с открытым ключом. Если подписи не совпадают, проверка DKIM провалена.
• DMARC опирается на то, что владелец домена создает DNS-запись типа TXT, в которой указаны действия, которые почтовый сервер-получатель должен выполнить, если проверка SPF и/или DKIM будет провалена.

Таким образом, SPF и DKIM используются для распознавания поддельных писем, а DMARC рекомендует, как с ними поступить.

Узнайте больше о DKIM, SPF и DMARC в Plesk.

Преимущества такого подхода:

• Эффективная фильтрация почты с поддельными адресами отправителей.

Недостатки такого подхода:

• От владельцев доменов требуется правильная настройка почтовых серверов и записей DNS и указание политики DMARC.
• Такой подход может помешать доставке настоящих писем (например, когда письмо пересылается почтовым сервером, который не настроен на корректную перезапись адреса отправителя).
• Такой подход не может препятствовать отправке спама с правильно настроенных почтовых серверов (например, таких бесплатных провайдеров электронной почты, как Gmail или Outlook).

Блокировка спама с помощью проверок SPF:

1. Войдите в Plesk.
2. Перейдите на страницу Инструменты и настройки и нажмите Настройки почтового сервера (в разделе «Почта»).
3. Выберите «Включить защиту от спама на основе политик SPF для проверки входящих сообщений» и нажмите OK.

Теперь все входящие письма будут проходить проверку SPF на основании локальной политики SPF, локальных предположений SPF и политики SPF домена, который является возможным отправителем письма. По результатам проверки сервер Plesk либо отклонит письмо, либо добавит к нему заголовок SPF.

Блокировка спама с помощью проверок DKIM:

1. Войдите в Plesk.
2. Перейдите на страницу Инструменты и настройки и нажмите Настройки почтового сервера (в разделе «Почта»).
3. В разделе «Система защиты от спама DKIM» выберите «Проверять входящие сообщения» и нажмите ОК.

Теперь все входящие письма будут проходить проверку DKIM. Почтовый сервер Plesk добавит заголовок DKIM в каждое входящее письмо. Имейте в виду, что даже если письмо не пройдет проверку, это не помешает его доставке. Чтобы предпринять дальнейшие действия, на сервере должны быть включены проверки DMARC, а домен, который предположительно является отправителем письма, должен иметь открытую политику DMARC.

Блокировка спама с помощью политики DMARC:

1. Войдите в Plesk.
2. Перейдите на страницу Инструменты и настройки и нажмите Настройки почтового сервера (в разделе «Почта»).
3. Включите обе проверки SPF и DKIM, как описано выше.
4. Выберите «Включить проверку DMARC для входящей почты» и нажмите OK.

Теперь все входящие письма будут проходить проверку SPF и DKIM, а результат каждой проверки будет зависеть от политики DMARC домена, с которого предположительно отправлено письмо.

(Plesk for Linux) Rejecting Mail With Forged Sender Address

By default, when an incoming email fails the DMARC check, and the DMARC policy advises that the email should not be accepted for delivery, it is dropped silently. That is, the Plesk mail server replies to the client with a 2yz response code, and then discards the email without trying to deliver it to the recipient(s). You can configure the Plesk mail server to explicitly reject emails that fail the DMARC check with a 5yz response code.

Rejecting emails that fail the DMARC check:

1. Log in to the Plesk server via SSH.

2. Выполните следующую команду:

   plesk bin settings -s mail_dmarc_reject_at_smtp=true && plesk repair mail -y
   

The Plesk mail server will now reject emails that fail the DMARC check with a 5yz response code.

Блокировка спама с помощью черных списков DNS (DNSBL)

Есть организации, которые ведут списки IP-адресов, с которых часто рассылается спам. Вы можете настроить для Plesk использование одного или нескольких подобных списков и заблокировать все письма с этих IP-адресов.

Узнайте больше об использовании DNSBL в Plesk.

Преимущества такого подхода:

• Вы можете воспользоваться готовыми списками известных спамеров.

Недостатки такого подхода:

• Списки DNSBL обновляются вручную. Когда сервер начинает рассылать спам, может потребоваться время, чтобы его IP-адрес появился в списке.
• В списках DNSBL нет исключений для серверов, которые рассылают как спам, так и настоящие письма. При использовании списка DNSBL доставка настоящих писем может быть заблокирована.
• Используя список DNSBL, вы передаете контроль над доставкой и возвратом почты третьему лицу.

Блокировка спама с помощью списка DNSBL:

1. Войдите в Plesk.
2. Перейдите на страницу Инструменты и настройки и нажмите Настройки почтового сервера (в разделе «Почта»).
3. Поставьте галочку «Включить защиту от спама на основе черных списков DNS».
4. Укажите зону DNS нужного списка или список DNSBL (например, «dnsbl.example.com») и нажмите ОК.

Почтовый сервер теперь не будет принимать входящие письма со всех серверов в указанном черном списке или списках. Это касается и спама, и обычных писем.

(Plesk for Linux) Blocking Spam Using Greylisting

Когда серый список включен, сервер Plesk «временно блокирует» все входящие письма — как спам, так и настоящие письма. Настоящие, правильно настроенные почтовые серверы через некоторое время повторяют попытку, и уже со второй попытки почтовый сервер Plesk примет письмо. Вредоносные или взломанные скрипты PHP, которые рассылают спам, повторять попытку не будут.

Узнайте больше об использовании серых списков в Plesk.

Преимущества такого подхода:

• Серый список помогает отфильтровать спам, и шансы заблокировать настоящие письма малы.

Недостатки такого подхода:

• При использовании серого списка настоящие письма доставляются с задержкой. Длительность задержки настраивается почтовым сервером-отправителем, и в Plesk ее изменить нельзя. Это может причинить неудобства, если письма срочные, и заставить беспокоиться о том, дойдут ли письма до адресата или нет.
• В некоторых случаях использование серого списка может помешать доставке настоящих писем: например, когда настоящее письмо отправлено с почтового сервера, который не настроен на повторение попытки доставить письмо после временной блокировки.
• Серый список не может препятствовать отправке спама с правильно настроенных почтовых серверов (например, таких бесплатных провайдеров электронной почты, как Gmail или Outlook).

Блокировка спама с помощью серого списка:

1. Войдите в Plesk.
2. Перейдите на страницу Инструменты и настройки и нажмите Антиспам (в разделе «Почта»).
3. Поставьте галочку «Включить антиспам на основе серого списка для всего сервера» и нажмите ОК.

Все входящие письма, как спам, так и настоящие, при первой попытке доставки будут временно отклонены сервером Plesk.

Блокировка почты с помощью SpamAssassin

SpamAssassin определяет спам, пропуская содержимое письма через множество предварительно настроенных фильтров, которые, например, проверяют наличие слов, типичных для спам-рассылок. При каждом срабатывании фильтра количество баллов SpamAssassin этого письма увеличивается. Когда сумма баллов достигает определенного значения или превышает его, письмо помечается как спам и удаляется.

Узнайте больше об использовании SpamAssassin в Plesk.

Преимущества такого подхода:

• SpamAssassin не ориентируется на поведения третьих лиц. Письмо-спам, которое притворяется отправленным с домена без политик SPF/DMARC и сервера не в списках DNSBL, все равно может быть распознано как спам.
• SpamAssassin обладает очень гибкими возможностями настройки, но для их полноценного использования требуется помощь специалиста.

Недостатки такого подхода:

• Проверки SpamAssassin ресурсоемкие. Если вы получаете больше количество входящих писем, проверка каждого письма с помощью SpamAssassin потребует большого количества вычислительной мощности сервера, в частности ОЗУ.
• Обычно SpamAssassin настраивают на проверку писем определенного размера. Вы можете увеличить максимальный размер писем, которые проверяются SpamAssassin, но сканирование больших писем требует много времени и загружает оперативную память.
• Иногда у SpamAssassin могут происходить ложные срабатывания. Реальные письма могут быть определены как спам, а спам — как реальные письма. Имейте это в виду.

Блокировка спама с помощью SpamAssassin:

1. Войдите в Plesk.
2. Перейдите на страницу Инструменты и настройки и нажмите Антиспам (в разделе «Почта»).
3. Отметьте галочкой «Включить антиспам SpamAssassin для всего сервера»
4. (Необязательно) Чтобы иметь возможность включать, отключать и настраивать SpamAssassin для отдельных учетных записей электронной почты, отметьте галочкой «Применять индивидуальные настройки антиспама».
5. (Необязательно) Чтобы ужесточить условия фильтрации, понизьте значение поля «Балл, после получения которого, письмо считается спамом». Если вы хотите ослабить условия фильтрации, повысьте это значение. Понижение балла снижает шанс получения спама, но повышает шанс ложных срабатываний, и наоборот. Значение по умолчанию (7,0) оптимально для большинства случаев.
6. (Optional, Plesk for Linux) To reduce the amount of RAM SpamAssassin will consume on average, decrease the value of the «The maximum number of worker spamd processes to run» field. This may increase the time incoming mail sits in the queue waiting to be scanned by SpamAssassin before delivery. «One» is the lowest possible value, «five» is the highest.
7. Нажмите OK.

Все входящие письма определенного размера (по умолчанию 256 Кб и меньше) сканируются. Тема письма, которое, возможно является спамом, будет изменена (по умолчанию добавляется текст «***СПАМ***»).

Защита входящих писем от попадания в спам

Инструменты антиспама могут допускать ошибки. Иногда настоящие письма могут быть возвращены или помечены как спам. Если ситуации, когда письма с определенного адреса, домена, IP-адреса или подсети не доставляются или помечаются как спам, настройте инструменты антиспама так, чтобы снизить вероятность таких событий.

Внесение IP-адресов и подсетей в белый список

Вы можете добавить отдельные IP-адреса или целые подсети в белый список почтового сервера. Вот что это значит:

• Письма с IP-адресов из белого списка всегда принимаются сервером-получателем. Письмо не возвращается, даже если IP-адрес находится в одном или нескольких списках DNSBL.
• Письма с IP-адресов из белого списка могут быть возвращены по результатам проверок SPF/DKIM/DMARC, временно заблокированы серым списком или отмечены как спам в SpamAssassin.

(Plesk for Linux) Adding IP addresses to the mail server white list:

1. Войдите в Plesk.
2. Перейдите на страницу Инструменты и настройки и нажмите Настройки почтового сервера (в разделе «Почта»).
3. Перейдите на вкладку «Белый список».
4. Click Add Network (or the icon if there are already one or more IP addresses included in the list).
5. Укажите IP-адрес или диапазон IP-адресов и нажмите ОК.

Письма с добавленных адресов больше не будут возвращаться отправителю и будут пропускать проверку DNSBL, при условии, что домен отправителя не в черном списке почтового сервера. Другие инструменты по-прежнему могут заблокировать доставку письма или пометить его как спам.

Добавление доменов и адресов электронной почты в белый список

Даже после добавления IP-адреса в белый список почтового сервера SpamAssassin может помечать письма как спам. Чтобы запретить SpamAssassin сканировать письма с определенных адресов или доменов (адресов электронной почты, доменов и IP-адресов в Plesk для Windows), добавьте их в белый список SpamAssassin.

(Plesk for Linux) Adding email addresses and domains to the SpamAssassin white list:

1. Войдите в Plesk.
2. Перейдите на страницу Инструменты и настройки и нажмите Антиспам (в разделе «Почта»).
3. Перейдите на вкладку «Белый список».
4. Click Add Address.
5. Upload a file containing the list of email addresses you want to whitelist. Alternatively, you can select the «From a list» radio button and enter one or more email addresses (for example, «example@example.com», or «*@example.com», and then click Save.

Письма с добавленных адресов электронной почты и доменов больше не сканируются SpamAssassin.

(Plesk for Windows) Adding email addresses and domains to the SpamAssassin white list:

1. Войдите в Plesk.
2. Перейдите на страницу Инструменты и настройки и нажмите Антиспам (в разделе «Почта»).
3. Перейдите на вкладку «Белый список».
4. Click Add Network (or the icon if there are already one or more IP addresses included in the list).
5. Укажите IP-адрес, диапазон IP-адресов, адрес электронной почты (например, mail@example.com) или домен (например, *@example.com) и нажмите ОК.

Письма с добавленных IP-адресов, адресов электронной почты и доменов больше не сканируются SpamAssassin.

Защита исходящих писем от попадания в спам

Вы можете использовать SPF и DKIM, чтобы снизить шанс того, что исходящие письма будут возвращены сервером-получателем или помечены как спам. Также это позволит защитить ваше имя домена от подделывания злоумышленниками. Оба инструмента сразу готовы к использованию и не требуют дополнительных настроек.

SPF для исходящей почты настроен по умолчанию. Это не дает спамерам подделать любое из имен доменов на сервере Plesk и снижает шанс того, что почтовый сервер-получатель отметит исходящие письма как спам (при условии, что сервер-получатель проводит проверки SPF).

Соответствующая запись DNS типа TXT уже есть в шаблоне зоны DNS Plesk и соответственно включена в зону DNS каждого домена, созданного в Plesk. По умолчанию запись SPF содержит следующее значение:

v=spf1 +a +mx +a:<hostname> -all

Серверу получателя дается команда возвращать письма, отправленные с домена на Plesk за исключением случаев, когда IP-адрес, с которого отправлено письмо, связан с записями A и MX домена или с записью A самого сервера Plesk.

Чтобы отключить SPF для исходящих писем конкретного домена, удалите SPF-запись этого домена. Чтобы отключить SPF для исходящих писем со всех доменов на сервере, удалите запись SPF из шаблона DNS и примените изменения ко всем доменам.

По умолчанию DKIM-подпись для исходящей почты включена на сервере. Она также включена для новых доменов, DNS и почтовый хостинг которых находятся в Plesk.

Соответствующая DNS-запись TXT включена в шаблон зоны DNS Plesk и, таким образом, включена в зону DNS каждого домена, созданного в Plesk. Все письма, отправленные с учетных записей электронной почты этого домена будут подписаны секретным ключом DKIM, который находится в соответствующей записи DNS типа TXT. Это снижает шанс того, что почтовый сервер-получатель пометит такие письма как спам (при условии, что почтовый сервер-получатель настроен на проведение проверок DKIM).