Amazon SES скомпрометирован
Мы испытали нечто странное. У нас есть МНОГО писем, отправленных с нашего домена, но не нами.
У нас есть DMARC, DKIM, SPF и т. Д., Все настроено и работает, но проблема все еще сохраняется. Изменение ключей API и ключей SMTP не решит эту проблему. Что мы можем сделать?
Пример журнала электронной почты:
{
"Type" : "Notification",
"MessageId" : "d9c91074-7f57-5a86-8322-49393f02821a",
"TopicArn" : "arn:aws:sns:eu-west-1:718401892325:Bounce",
"Message" : "{\"notificationType\":\"Bounce\",\"bounce\":{\"feedbackId\":\"0102017a392a81a4-57668ac5-61a5-4648-9dc4-74c1b3c687c7-000000\",\"bounceType\":\"Permanent\",\"bounceSubType\":\"General\",\"bouncedRecipients\":[{\"emailAddress\":\"[REDACTED RECEIVER]\",\"action\":\"failed\",\"status\":\"5.3.0\",\"diagnosticCode\":\"smtp; 550 Invalid Recipient - https://community.mimecast.com/docs/DOC-1369#550 [aKgfXeZYNwGH2GQxUFKDHA.us425]\"}],\"timestamp\":\"2021-06-23T13:58:44.000Z\",\"remoteMtaIp\":\"207.211.30.242\",\"reportingMTA\":\"dns; a7-36.smtp-out.eu-west-1.amazonses.com\"},\"mail\":{\"timestamp\":\"2021-06-23T13:58:44.246Z\",\"source\":\"[OUR MAIL ADRESS]\",\"sourceArn\":\"arn:aws:ses:eu-west-1:718401892325:identity/[OURDOMAIN]\",\"sourceIp\":\"185.29.10.120\",\"sendingAccountId\":\"718401892325\",\"messageId\":\"0102017a392a7f16-fe0921c4-319b-4565-a621-999132fc4ded-000000\",\"destination\":[\"[REDACTED RECEIVER]\"],\"headersTruncated\":false,\"headers\":[{\"name\":\"Received\",\"value\":\"from [OURDOMAIN] ([185.29.10.120]) by email-smtp.amazonaws.com with SMTP (SimpleEmailService-d-ETSXZ9WDB) id jsSf6D7p1SM4Tbekxdmr for [REDACTED RECEIVER]; Wed, 23 Jun 2021 13:58:44 +0000 (UTC)\"},{\"name\":\"From\",\"value\":\"[REDACTED RECEIVER DOMAIN] <[OURDOMAIN]>\"},{\"name\":\"To\",\"value\":\"[REDACTED RECEIVER]\"},{\"name\":\"Subject\",\"value\":\"Pending E-mail Message Released / REF: [REDACTED RECEIVER] / Priority: High\"},{\"name\":\"Date\",\"value\":\"23 Jun 2021 16:57:44 +0300\"},{\"name\":\"Message-ID\",\"value\":\"<20210623164053.3484CFB902B9822F@[OURDOMAIN]>\"},{\"name\":\"MIME-Version\",\"value\":\"1.0\"},{\"name\":\"Content-Type\",\"value\":\"text/html\"},{\"name\":\"Content-Transfer-Encoding\",\"value\":\"quoted-printable\"}],\"commonHeaders\":{\"from\":[\"\\\"[REDACTED RECEIVER DOMAIN]\\\" <[REDACTED RECEIVER]>\"],\"date\":\"23 Jun 2021 16:57:44 +0300\",\"to\":[\"[REDACTED RECEIVER]\"],\"messageId\":\"<20210623164053.3484CFB902B9822F@[OURDOMAIN]>\",\"subject\":\"Pending E-mail Message Released / REF: [REDACTED RECEIVER] / Priority: High\"}}}",
"Timestamp" : "2021-06-23T13:58:45.045Z",
"SignatureVersion" : "1",
"Signature" : "....jetiO8rzyuzM1dc5FCVHt7UAqHIjahA0fmXnLxKn9L5KwOlSlFvYaWBcYkEgCG1F7m+z1qDRaYqaU80Z+YY+exR7nw==",
"SigningCertURL" : ".......",
"UnsubscribeURL" : "......-4f97-82a3-3bf1b9e107bc"
}
Похоже, кто-то рассылает спам с сервера и использует FROM: ebay.com (скрыто) -> Использование email-smtp.amazonaws.com SMTP -> и отправив через нашу учетную запись Amazon SES по адресу: (скрыто) (например)
может ли кто-нибудь направить меня в правильном направлении, поскольку я не знаю, что делать, и Amazon тоже не так полезен?
В электронном письме указано «notificationType» или «bounce». Это наводит на мысль, что AWS SES уведомляет вас о недоставке (электронное письмо возвращено, а не доставлено), как описано в на этой странице , с типами отказов здесь . В сообщении ваш "bounceType" указан как "Permanent", в документах говорится: "Провайдер электронной почты получателя отправил жесткое сообщение о недоставке, но не указал причину жесткого возврата".
Кто-то явно использует AWS SES для отправки электронных писем для вашего домена, и они не прибывают. Если это не вы или ваша компания, я предлагаю вам связаться с группой по борьбе с злоупотреблениями AWS по этому поводу ( ссылка ). Если вы заявите о себе, и это еще одна часть вашей компании, могут произойти неприятности, поэтому внимательно проверяйте.