Postfix / Spamassassin：未送信のメールが送信者に返送された[終了]

https://stackoverflow.com/questions/823158

05-07-2019
|

質問

新しく設定されたメールサーバーに問題があり、ローカルドメインから送信されるようになりすましたスパムメールが実際にメールサーバーに受け入れられ、メールはそのまま配信されず、spamassassinがスパムとしてタグ付けしてから送信する「未送信メールが送信者に返送されました」というメールなりすましのローカルユーザーに。

設定でこれを修正する方法があることは知っていますが、どこにいるのかわかりません。誰かが私を正しい方向に向けてくれることを望んでいます。

明確にするために、メールサーバーは中継していません。これはローカルユーザーの問題です。内部で送信されないローカルユーザーからのメールをpostfixで拒否するようにします。この問題は停止します。

これは何が起こっているかを示すメールです。ドメインをexample.com.auに変更しました。

  ###############################################


  これは、ホストexample.com.auのメールシステムです。

  メッセージが
できなかったことをお知らせしなくてすみません   1人以上の受信者に配信されます。以下に添付します。

  さらにサポートが必要な場合は、ポストマスターにメールを送信してください。

  その場合は、この問題レポートを含めてください。
  添付の返信メッセージから独自のテキストを削除します。

  メールシステム

  ：ホスト127.0.0.1 [127.0.0.1]の発言：554 5.7.0拒否、id = 11887-07-スパム（DATAコマンドの終了に対する応答）
？
  Reporting-MTA：dns; example.com.au
  X-Postfix-Queue-ID：661DC5D1DE
  X-Postfix-Sender：rfc822; dan@example.com.au
  到着日：2009年5月5日、火曜日06:21:38 +1000（EST）

  最終受信者：rfc822; dan@example.com.au
  元の受信者：rfc822; dan@example.com.au
  アクション：失敗ステータス：5.7.0
  リモートMTA：dns; 127.0.0.1
  診断コード：smtp; 554 5.7.0拒否、id = 11887-07-スパム？

  差出人：Berenice Penez
  日付：月、4
  2009年5月22:21:41 +0200
  宛先：件名：あなたはフォーラムでしたか？

  信頼性の高い品質と遅延なし
  配送！
のスーパーオンラインストア   病気の治療
   http://www.xopfekec.cn/


     ###############################################

main.cfの接尾辞（重要な部分、完全ではない）

readme_directory = / usr / share / doc / postfix
  mydomain_fallback = localhost
  message_size_limit = 0
  mailbox_size_limit = 0
  myhostname = example.com.au
  mailbox_transport = cyrus
  mydomain = example.com.au
  inet_interfaces = all
  enable_server_options = yes
  mydestination = $ myhostname、localhost。$ mydomain、localhost、example.com.au
  smtpd_sasl_auth_enable = yes
  smtpd_use_pw_server = yes
  smtpd_recipient_restrictions = permit_sasl_authenticated、permit_mynetworks、reject_unauth_destination、reject_unknown_recipient_domain、reject_unknown_sender_domain、reject_invalid_hostname
  smtpd_pw_server_security_options = plain、login
  content_filter = smtp-amavis：[127.0.0.1]：10024
  mynetworks = 127.0.0.0/8、10.0.1.0/24
  smtpd_client_restrictions = permit_sasl_authenticated、reject_rbl_client dnsbl.sorbs.net

解決

いくつかの異なるポイント：

これはserverfault.comにあるはずですが、ベータ版ではないので、ここで答えます。
postconf -n の出力は、main.cfに関連する行と思われるものを含めるよりも優れています。パラメーターのオーバーライドまたはその他のカスタマイズがある場合は、master.cfからの関連行も含めます。
そのようなメールは受け入れないでバウンスします。 PostfixでアフターキューフィルターとしてSpamAssassinを使用している場合（通常の実行方法）、タグアンドデリバー（およびクライアント側ルールでフィルター）または送信者に通知せずにメールを隔離する必要があります。あなたの質問の外観から、あなたはおそらく後方散乱源です。やめてたとえば、 http://www.postfix.org/BACKSCATTER_README.html を参照してください。 SpamAssassinをあらゆる種類の便利な機能を備えたPostfixに統合するには、amavisd-newを検討してください。
すべての制限をsmtpd_recipient_restrictionsにまとめることを検討してください。一般に、smtpd_ {client、helo、sender、recipient} _restrictions間の相互作用を処理するよりも、そのような制限の線形フローを管理する方が簡単です。
Postfixが外部からのメールを受け付けないようにするには、ドメインからのメールを拒否するsender_accessマップを追加します：

smtpd_recipient_restrictions = 
  permit_sasl_authenticated, 
  permit_mynetworks, 
  reject_unauth_destination, 
  check_sender_access hash:$config_directory/reject_mydomains
  reject_unknown_recipient_domain,
  reject_unknown_sender_domain,
  reject_invalid_hostname

そしてreject_mydomains

example.com.au REJECT you are not me

これはおそらく、ドメインをエンベロープ送信者として使用する正当な（？）理由（Eカード、招待状、または調査などの外部委託サービス）を使用する送信者からのメールで誤検知を起こしやすい傾向があります。 OKまたは適切な制限クラスを返すsender_accessマップの前にclient_accessマップを使用して、自分ではないルールをホワイトリストに登録できます（ http://www.postfix.org/RESTRICTION_CLASS_README.html ）。

同様のHELOチェックを使用して、独自のホスト名/ IPまたは既知の不良なHELO文字列でクライアントをHELO除外することができます

smtpd_recipient_restrictions = 
  permit_sasl_authenticated, 
  permit_mynetworks, 
  reject_unauth_destination, 
  check_helo_access hash:$config_directory/helo_checks
  check_sender_access hash:$config_directory/reject_mydomains
  reject_unknown_recipient_domain,
  reject_unknown_sender_domain,
  reject_invalid_hostname

およびhelo_checks：

example.com.au             REJECT BAD-HELO you are not example.com.au
mailserver.example.com.au  REJECT BAD-HELO you are not me
localhost                  REJECT BAD-HELO you are not me
localhost.localdomain      REJECT BAD-HELO you are not me
# where 1.2.3.4 is the IP of your server
1.2.3.4                    REJECT BAD-HELO you are not me
127.0.0.1                  REJECT BAD-HELO you are not me

最後に、RBLなどの評判の良いサービスを購読することをお勧めします。ほとんどの目的に最適なRBLは、 zen.spamhaus.org です。軽〜中程度の負荷には無料で使用できます。使用量が無料/有料のしきい値を超えるほど高い場合は、コストに見合うだけの価値があります。 Postfixで設定するには、追加

reject_rbl_client zen.spamhaus.org

smtpd_recipient_restrictionsに。 DNSクエリの負荷と待機時間を節約するための安価なローカルチェックの後、reject_unverified_recipientのような高価なローカルチェックの前に実行します（これは使用しておらず、おそらく問題の説明からは必要ありません）。

ライセンス： CC-BY-SA と帰属

所属していません StackOverflow