بوستفيكس / سباماساسين:تم إرجاع البريد الذي لم يتم تسليمه إلى المرسل [مغلق]

StackOverflow https://stackoverflow.com/questions/823158

سؤال

أواجه مشكلة مع خادم بريد تم تكوينه حديثًا حيث يتم قبول رسائل البريد الإلكتروني العشوائية التي تم انتحال وصولها من المجال المحلي بواسطة خادم البريد، ولا يتم تسليم البريد كما هو، ويضع عامل السبام علامة عليه كبريد عشوائي ثم يرسل بريدًا إلكترونيًا " "تم إرجاع البريد الذي لم يتم تسليمه إلى المرسل" إلى المستخدم المحلي المخادع.

أعلم أن هناك طريقة لإصلاح ذلك في التكوين ولكن ليس لدي أي فكرة عن مكانها، وآمل أن يتمكن شخص ما من توجيهي في الاتجاه الصحيح.

للتوضيح، خادم البريد لا يقوم بالترحيل، وهذه مشكلة مستخدم محلي فقط.أريد من postfix أن يرفض أي رسائل بريد إلكتروني يُفترض أنها واردة من مستخدمين محليين ولم يتم إرسالها داخليًا.من شأنه أن يوقف هذه المشكلة.

هنا رسالة بريد إلكتروني لتظهر لك ما يحدث.لقد قمت بتغيير المجال إلى example.com.au.

###############################################


هذا هو نظام البريد في المضيف example.com.au.

يؤسفني أن أخبرك أن رسالتك لا يمكن ذلك
يتم تسليمها إلى واحد أو أكثر من المستلمين.إنه مرفق بالأسفل.

لمزيد من المساعدة، يرجى إرسال بريد إلكتروني إلى مدير مكتب البريد.

إذا قمت بذلك، يرجى تضمين هذا التقرير المشكلة.أنت تستطيع
احذف النص الخاص بك من الرسالة المرفقة التي تم إرجاعها.

نظام البريد

:قال المضيف 127.0.0.1[127.0.0.1]:554 5.7.0 رفض، المعرف=11887-07 - البريد العشوائي (ردًا على نهاية أمر البيانات)
?
إعداد التقارير-MTA:dns;example.com.au
معرف قائمة الانتظار X-Postfix:661DC5D1DE
المرسل X-Postfix:rfc822;dan@example.com.au
تاريخ الوصول:الثلاثاء، 5 مايو 2009 06:21:38 +1000 (بتوقيت شرق الولايات المتحدة)

المستلم النهائي:rfc822;dan@example.com.au
المستلم الأصلي: rfc822;dan@example.com.au
فعل:حالة الفشل:5.7.0
البعيد-MTA:نظام أسماء النطاقات؛127.0.0.1
رمز التشخيص:SMTP;554 5.7.0 رفض، المعرف=11887-07 - البريد العشوائي؟

من:برنيس بينيز
تاريخ:الإثنين، 4
مايو 2009 22:21:41 +0200
ل: موضوع:هل كنت أنت في المنتدى؟

جودة موثوقة وبدون تأخير
توصيل!متجر سوبر على الانترنت ل
علاج المرض
http://www.xopfekec.cn/

###############################################

Postfix main.cf (الأجزاء المهمة، غير كاملة)

readme_directory = /usr/share/doc/postfix
mydomain_fallback = localhost
message_size_limit = 0
صندوق البريد_حجم_الحد = 0
اسم المضيف = example.com.au
mailbox_transport = سايروس
النطاق الخاص بي = example.com.au
inet_interfaces = الكل
Enable_server_options = نعم
mydestination = $myhostname,localhost.$mydomain,localhost,example.com.au
smtpd_sasl_auth_enable = نعم
smtpd_use_pw_server = نعم
smtpd_recipient_restrictions =تصاريح_sasl_authenticated،permit_mynetworks،reject_unauth_destination،reject_unknown_recipient_domain،reject_unknown_sender_domain،reject_invalid_hostname
smtpd_pw_server_security_options = عادي، تسجيل الدخول
content_filter = smtp-amavis:[127.0.0.1]:10024
شبكاتي = 127.0.0.0/8، 10.0.1.0/24
smtpd_client_restrictions =تصاريح_sasl_authenticated،reject_rbl_client dnsbl.sorts.net

هل كانت مفيدة؟

المحلول

بعض النقاط المختلفة:

  • ينبغي أن يكون هذا على موقع serverfault.com، ولكن بما أنني لست في النسخة التجريبية هناك، فسأجيب عليه هنا.

  • إخراج ما بعد المؤتمر -ن أفضل من تضمين ما تعتقد أنه الأسطر ذات الصلة في main.cf.قم أيضًا بتضمين الأسطر ذات الصلة من master.cf إذا كان لديك تجاوزات للمعلمات أو تخصيصات أخرى هناك.

  • لا تقبل ثم ترتد البريد من هذا القبيل.إذا كنت تستخدم SpamAssassin كمرشح بعد قائمة الانتظار في Postfix (الطريقة المعتادة لتشغيله)، فستحتاج إما إلى وضع علامة وتسليم (والتصفية باستخدام قواعد جانب العميل) أو عزل البريد دون إخطار المرسل.من مظهر سؤالك، من المحتمل أنك مصدر ارتدادي.توقف عن ذلك.انظر على سبيل المثال http://www.postfix.org/BACKSCATTER_README.html.فكر في استخدام amavisd-new لدمج SpamAssassin في Postfix مع جميع أنواع الميزات المفيدة.

  • فكر في طي كافة القيود الخاصة بك إلى smtpd_recipient_restrictions.من الأسهل بشكل عام إدارة التدفق الخطي لقيود كهذه بدلاً من التعامل مع التفاعلات بين smtpd_{client,helo,sender,recipient}_restrictions.

  • لمنع Postfix من قبول البريد من الخارج، قم بإضافة خريطة sender_access التي ترفض البريد الذي يدعي أنه من نطاقاتك:

smtpd_recipient_restrictions = 
  permit_sasl_authenticated, 
  permit_mynetworks, 
  reject_unauth_destination, 
  check_sender_access hash:$config_directory/reject_mydomains
  reject_unknown_recipient_domain,
  reject_unknown_sender_domain,
  reject_invalid_hostname

وفيرفض_mydomains

example.com.au REJECT you are not me

من المحتمل أن يكون هذا عرضة للإيجابيات الخاطئة مع البريد الذي يأتي من مرسلين لديهم سبب مشروع (؟) لاستخدام المجال الخاص بك كمرسل المغلف (البطاقات الإلكترونية، الدعوات، ربما بعض الخدمات الخارجية مثل الاستطلاعات أو غيرها).يمكنك إدراج قواعد "أنت لست أنا" في القائمة البيضاء باستخدام خريطة Client_access قبل خريطة sender_access التي تُرجع "موافق" أو فئة تقييد مناسبة (راجع http://www.postfix.org/RESTRICTION_CLASS_README.html).

يمكنك استخدام عمليات فحص HELO مماثلة للتخلص من عملاء HELO باستخدام اسم المضيف/IP الخاص بك أو سلاسل HELO السيئة المعروفة

smtpd_recipient_restrictions = 
  permit_sasl_authenticated, 
  permit_mynetworks, 
  reject_unauth_destination, 
  check_helo_access hash:$config_directory/helo_checks
  check_sender_access hash:$config_directory/reject_mydomains
  reject_unknown_recipient_domain,
  reject_unknown_sender_domain,
  reject_invalid_hostname

وفي helo_checks:

example.com.au             REJECT BAD-HELO you are not example.com.au
mailserver.example.com.au  REJECT BAD-HELO you are not me
localhost                  REJECT BAD-HELO you are not me
localhost.localdomain      REJECT BAD-HELO you are not me
# where 1.2.3.4 is the IP of your server
1.2.3.4                    REJECT BAD-HELO you are not me
127.0.0.1                  REJECT BAD-HELO you are not me

وأخيرًا، من الجيد جدًا الاشتراك في خدمة ذات سمعة جيدة مثل RBL.أفضل RBL لمعظم الأغراض هو zen.spamhaus.org.إنه مجاني للاستخدام مع الأحمال الخفيفة إلى المتوسطة، وإذا كان استخدامك مرتفعًا بما يكفي لتجاوز الحد المجاني/المدفوع، فإن التكلفة تستحق ذلك.للتكوين في Postfix، قم بإضافة

reject_rbl_client zen.spamhaus.org

إلى smtpd_recipient_restrictions الخاص بك.افعل ذلك بعد عمليات الفحص المحلية الرخيصة لحفظ تحميل استعلام DNS ووقت الاستجابة، ولكن قبل عمليات التحقق المحلية باهظة الثمن مثل Deject_unverified_recipient (أنت لا تستخدم ذلك وربما لا تحتاج إليه من وصف مشكلتك).

مرخصة بموجب: CC-BY-SA مع الإسناد
لا تنتمي إلى StackOverflow
scroll top