Postfix / Spamassassin: correo no entregado devuelto al remitente [cerrado]

Question

Tengo un problema con un servidor de correo recién configurado donde el servidor de correo realmente acepta los correos electrónicos de spam falsificados que provienen del dominio local, el correo no se entrega tal como está, el spamassassin lo etiqueta como correo no deseado y luego lo envía. un correo electrónico " Correo no entregado devuelto al remitente " al usuario local falsificado.

Sé que hay una forma de solucionar esto en la configuración, pero no tengo idea de dónde, espero que alguien pueda apuntarme en la dirección correcta.

Para que quede claro, el servidor de correo no está retransmitiendo, esto es solo un problema del usuario local. Quiero que postfix rechace cualquier correo electrónico supuestamente de usuarios locales que no se envíen internamente. Pararía este problema.

Aquí hay un correo electrónico para mostrarte lo que está sucediendo. He cambiado el dominio a example.com.au.

  ###############################################
     

  Este es el sistema de correo en host example.com.au.
  
  Lamento tener que informarle que su mensaje no pudo
  Se entregará a uno o más destinatarios. Se adjunta a continuación.
  
  Para obtener más ayuda, envíe un correo a postmaster.
  
  Si usted hace eso, por favor incluya este reporte del problema. Usted puede
  borre su propio texto del mensaje adjunto devuelto.
  
  El sistema de correo
  
  : el host 127.0.0.1 [127.0.0.1] dijo: 554 5.7.0 Rechazar, id = 11887-07 - SPAM (en respuesta al final del comando DATA)
?
  Reporting-MTA: dns; example.com.au
  X-Postfix-Queue-ID: 661DC5D1DE
  X-Postfix-Sender: rfc822; dan@example.com.au
  Fecha de llegada: martes, 5 de mayo de 2009 06:21:38 +1000 (EST)
  
  Destinatario final: rfc822; dan@example.com.au
  Receptor original: rfc822; dan@example.com.au
  Acción: estado fallido: 5.7.0
  MTA remoto: dns; 127.0.0.1
  Código de diagnóstico: smtp; 554 5.7.0 Rechazar, id = 11887-07 - ¿SPAM?
  
   De: Berenice Penez
  Fecha: lun, 4
  Mayo 2009 22:21:41 +0200
   Para: Asunto: ¿Estabas tú, en el foro?
  
  Calidad confiable y sin demoras con
  ¡entrega! Tienda super online para
  tratamiento de enfermedades
   http://www.xopfekec.cn/
  

     ###############################################

Postfix main.cf (las partes importantes no están completas)

  

readme_directory = / usr / share / doc / postfix
  mydomain_fallback = localhost
  message_size_limit = 0
  mail_size_limit = 0
  myhostname = example.com.au
  buzón_transporte = cyrus
  mydomain = example.com.au
  inet_interfaces = todos
  enable_server_options = yes
  mydestination = $ myhostname, localhost. $ mydomain, localhost, example.com.au
  smtpd_sasl_auth_enable = yes
  smtpd_use_pw_server = yes
  smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_unauth_destination, reject_unknown_recipient_domain, reject_unknown_sender_domain, reject_invalid_hostname
  smtpd_pw_server_security_options = plain, iniciar sesión
  content_filter = smtp-amavis: [127.0.0.1]: 10024
  mynetworks = 127.0.0.0/8, 10.0.1.0/24
  smtpd_client_restrictions = permit_sasl_authenticated, reject_rbl_client dnsbl.sorbs.net

Answer 1

Algunos puntos diferentes:

• Esto debería estar en serverfault.com, pero como no estoy en la versión beta, lo responderé aquí.

• La salida de postconf -n es mejor que incluir lo que crees que son las líneas relevantes en main.cf. También incluya las líneas relevantes de master.cf si tiene anulaciones de parámetros u otras personalizaciones allí.

• No aceptes, entonces rebota el correo de esa manera. Si está utilizando SpamAssassin como un filtro posterior a la cola en Postfix (la forma habitual de ejecutarlo), necesita etiquetar y entregar (y filtrar con las reglas del lado del cliente) o poner en cuarentena el correo sin notificar al remitente. Por el aspecto de tu pregunta, probablemente eres una fuente de retrodispersión. Para. Consulte, por ejemplo, http://www.postfix.org/BACKSCATTER_README.html . Considere amavisd-new para integrar SpamAssassin en Postfix con todo tipo de características útiles.

• Considere colapsar todas sus restricciones en smtpd_recipient_restrictions. En general, es más fácil administrar el flujo lineal de restricciones de esa manera que lidiar con las interacciones entre smtpd_ {cliente, helo, remitente, destinatario} _restricciones.

• Para evitar que Postfix acepte correos externos, agregue un mapa sender_access que rechace el correo que dice provenir de sus dominios:

smtpd_recipient_restrictions = 
  permit_sasl_authenticated, 
  permit_mynetworks, 
  reject_unauth_destination, 
  check_sender_access hash:$config_directory/reject_mydomains
  reject_unknown_recipient_domain,
  reject_unknown_sender_domain,
  reject_invalid_hostname

Y en reject_mydomains

example.com.au REJECT you are not me

Esto probablemente será propenso a falsos positivos con el correo que proviene de remitentes con una razón legítima (?) para usar su dominio como remitente del sobre (tarjetas electrónicas, invitaciones, tal vez algún servicio de terceros, como encuestas o cualquier otra cosa). Puede hacer una lista blanca en torno a sus reglas de "no son yo" con un mapa client_access antes de su mapa sender_access que devuelve OK o una clase de restricción adecuada (consulte http://www.postfix.org/RESTRICTION_CLASS_README.html ).

Puede usar controles de HELO similares para eliminar a los clientes de HELO con su propio nombre de host / IP o cadenas de HELO mal conocidas

smtpd_recipient_restrictions = 
  permit_sasl_authenticated, 
  permit_mynetworks, 
  reject_unauth_destination, 
  check_helo_access hash:$config_directory/helo_checks
  check_sender_access hash:$config_directory/reject_mydomains
  reject_unknown_recipient_domain,
  reject_unknown_sender_domain,
  reject_invalid_hostname

y en helo_checks:

example.com.au             REJECT BAD-HELO you are not example.com.au
mailserver.example.com.au  REJECT BAD-HELO you are not me
localhost                  REJECT BAD-HELO you are not me
localhost.localdomain      REJECT BAD-HELO you are not me
# where 1.2.3.4 is the IP of your server
1.2.3.4                    REJECT BAD-HELO you are not me
127.0.0.1                  REJECT BAD-HELO you are not me

Por último, es una muy buena idea suscribirse a un servicio de buena reputación, como un RBL. El mejor RBL para la mayoría de los propósitos es zen.spamhaus.org . El uso es gratuito para cargas ligeras a moderadas, y si su uso es lo suficientemente alto como para sobrepasar su umbral gratuito / pagado, el costo vale la pena. Para configurar en Postfix, agregue

reject_rbl_client zen.spamhaus.org

a su smtpd_recipient_restrictions. Hágalo después de sus cheques locales económicos para ahorrar en la carga de consultas DNS y la latencia, pero antes de costosos cheques locales como reject_unverified_recipient (no está usando ese y probablemente no lo necesite de la descripción del problema).