Postfix / Spamassassin: Posta non consegnata restituita al mittente [chiuso]

Question

Sto riscontrando un problema con un mailserver di nuova configurazione in cui le email di spam che vengono falsificate dal dominio locale vengono effettivamente accettate dal server di posta, la posta non viene recapitata come lo è, lo spamassassin lo contrassegna come spam e quindi invia un messaggio di posta elettronica " Posta non consegnata restituita al mittente " all'utente locale falsificato.

So che esiste un modo per risolvere questo problema nella configurazione, ma non ho idea di dove, spero che qualcuno possa indicarmi la giusta direzione.

Per essere chiari, il mailserver non sta inoltrando, questo è solo un problema dell'utente locale. Voglio che Postfix rifiuti qualsiasi e-mail presumibilmente dagli utenti locali che non vengono inviati internamente. Smetterebbe di questo problema.

Ecco un'e-mail per mostrarti cosa sta succedendo. Ho cambiato il dominio in example.com.au.

  ###############################################
     

  Questo è il sistema di posta nell'host example.com.au.
  
  Mi dispiace doverti informare che il tuo messaggio non ha potuto
  essere consegnato a uno o più destinatari. È allegato di seguito.
  
  Per ulteriore assistenza, si prega di inviare posta al postmaster.
  
  In tal caso, si prega di includere questo rapporto di problema. Puoi
  elimina il tuo testo dal messaggio restituito allegato.
  
  Il sistema di posta elettronica
  
  : host 127.0.0.1 [127.0.0.1] ha detto: 554 5.7.0 Rifiuta, id = 11887-07 - SPAM (in risposta alla fine del comando DATA)
?
  Segnalazione-MTA: dns; example.com.au
  X-Postfix-Queue-ID: 661DC5D1DE
  X-Postfix-Sender: rfc822; dan@example.com.au
  Data di arrivo: mar, 5 maggio 2009 06:21:38 +1000 (EST)
  
  Destinatario finale: rfc822; dan@example.com.au
  Original-Recipient: RFC822; dan@example.com.au
  Azione: non riuscita Stato: 5.7.0
  Remote-MTA: dns; 127.0.0.1
  Codice diagnostico: smtp; 554 5.7.0 Rifiuta, id = 11887-07 - SPAM?
  
   Da: Berenice Penez
  Data: lun, 4
  Maggio 2009 22:21:41 +0200
   A: Oggetto: eri tu, sul forum?
  
  Qualità affidabile e nessun ritardo con
  consegna! Negozio super online per
  trattamento della malattia
   http://www.xopfekec.cn/
  

     ###############################################

Postfix main.cf (le parti importanti, non complete)

  

readme_directory = / usr / share / doc / postfix
  mydomain_fallback = localhost
  message_size_limit = 0
  mailbox_size_limit = 0
  nomehost = esempio.com.au
  mailbox_transport = cyrus
  miodominio = esempio.com.au
  inet_interfaces = all
  enable_server_options = yes
  mydestination = $ myhostname, localhost. $ mydomain, localhost, example.com.au
  smtpd_sasl_auth_enable = sì
  smtpd_use_pw_server = sì
  smtpd_recipient_rest restrizioni = allow_sasl_authenticated, allow_mynetworks, reject_unauth_destination, reject_unknown_recipient_domain, reject_unknown_sender_domain, reject_invalid_hostname
  smtpd_pw_server_security_options = plain, accedi
  content_filter = smtp-amavis: [127.0.0.1]: 10024
  mynetworks = 127.0.0.0/8, 10.0.1.0/24
  smtpd_client_rest restrizioni = allow_sasl_authenticated, reject_rbl_client dnsbl.sorbs.net

Answer 1

Alcuni punti diversi:

• Questo dovrebbe essere su serverfault.com, ma dato che non sono in beta, risponderò qui.

• L'output di postconf -n è meglio che includere quelle che ritieni siano le righe rilevanti in main.cf. Includi anche le righe pertinenti da master.cf se hai sostituzioni di parametri o altre personalizzazioni.

• Non accettare quindi rimbalza la posta in quel modo. Se stai usando SpamAssassin come filtro post-coda in Postfix (il solito modo di eseguirlo), devi etichettare e consegnare (e filtrare con le regole sul lato client) o mettere in quarantena la posta senza avvisare il mittente. Dall'aspetto della tua domanda, sei probabilmente una fonte di backscatter. Smettila. Vedi ad esempio http://www.postfix.org/BACKSCATTER_README.html . Prendi in considerazione amavisd-new per l'integrazione di SpamAssassin in Postfix con tutti i tipi di funzionalità utili.

• Valuta di comprimere tutte le tue restrizioni in smtpd_recipient_rest restrizioni. È generalmente più semplice gestire il flusso lineare di restrizioni come quello che gestire le interazioni tra smtpd_ {client, helo, mittente, destinatario} _rest restrizioni.

• Per impedire a Postfix di accettare posta dall'esterno, aggiungi una mappa mittente_accesso che rifiuta la posta che afferma di provenire dai tuoi domini:

smtpd_recipient_restrictions = 
  permit_sasl_authenticated, 
  permit_mynetworks, 
  reject_unauth_destination, 
  check_sender_access hash:$config_directory/reject_mydomains
  reject_unknown_recipient_domain,
  reject_unknown_sender_domain,
  reject_invalid_hostname

E in reject_mydomains

example.com.au REJECT you are not me

Questo sarà probabilmente soggetto a falsi positivi con la posta proveniente da mittenti con un motivo legittimo (?) di utilizzare il tuo dominio come mittente di buste (e-card, inviti, forse alcuni servizi in outsourcing come sondaggi o quant'altro). Puoi inserire nella whitelist le tue regole "non sei io" con una mappa client_access prima della tua mappa mittente_accesso che restituisce OK o una classe di restrizione appropriata (vedi http://www.postfix.org/RESTRICTION_CLASS_README.html ).

Puoi utilizzare assegni HELO simili per eliminare i client HELO-ing con il tuo nome host / IP o stringhe HELO conosciute non valide

smtpd_recipient_restrictions = 
  permit_sasl_authenticated, 
  permit_mynetworks, 
  reject_unauth_destination, 
  check_helo_access hash:$config_directory/helo_checks
  check_sender_access hash:$config_directory/reject_mydomains
  reject_unknown_recipient_domain,
  reject_unknown_sender_domain,
  reject_invalid_hostname

e in helo_checks:

example.com.au             REJECT BAD-HELO you are not example.com.au
mailserver.example.com.au  REJECT BAD-HELO you are not me
localhost                  REJECT BAD-HELO you are not me
localhost.localdomain      REJECT BAD-HELO you are not me
# where 1.2.3.4 is the IP of your server
1.2.3.4                    REJECT BAD-HELO you are not me
127.0.0.1                  REJECT BAD-HELO you are not me

Infine, è un'ottima idea iscriversi a un servizio di buona reputazione come un RBL. Il miglior RBL per la maggior parte degli scopi è zen.spamhaus.org . È gratuito da utilizzare per carichi da leggeri a moderati e se il tuo utilizzo è abbastanza elevato da superare la soglia gratuita / pagata, ne vale la pena. Per configurare in Postfix, aggiungi

reject_rbl_client zen.spamhaus.org

alle tue smtpd_recipient_rest restrizioni. Fallo dopo i tuoi controlli locali a basso costo per risparmiare sul carico e sulla latenza delle query DNS, ma prima di costosi controlli locali come reject_unverified_recipient (non lo usi e probabilmente non ti serve dalla descrizione del tuo problema).