Pergunta

Eu estou tendo um problema com um servidor de correio recém-configurado, onde e-mails de spam que são falsificados vir do domínio local são realmente aceitos pelo servidor de correio, o is not correio entregue como é, porém, as tags SpamAssassin-lo como spam e enviá um e-mail "não entregue correio devolvido ao remetente" para o falsificado usuário local.

Eu sei que há uma maneira de corrigir isso na configuração, mas não tenho idéia de onde, eu estou esperando que alguém pode me apontar na direção certa.

Para ser claro, o servidor de correio não está retransmitindo, esta é apenas uma questão de usuário local. Quero postfix para rejeitar qualquer e-mails supostamente de usuários locais que não são enviadas internamente. Seria acabar com este problema.

Aqui está um e-mail para lhe mostrar o que está acontecendo. Eu mudei o domínio para example.com.au.

###############################################


Este é o sistema de correio no example.com.au host.

Lamento ter de informar que sua mensagem não
poderia ser entregue para um ou mais destinatários. É anexado abaixo.

Para obter mais assistência, por favor, envie um email para postmaster.

Se você fizer isso, por favor inclua o relatório do problema. Você pode
eliminar o seu próprio texto da mensagem em anexo devolvidos.

O sistema de correio

: Host 127.0.0.1 [127.0.0.1] disse: 554 5.7.0 Rejeitar, id = 11887-07 - SPAM (em resposta ao final do comando DATA)
?
Reportando-MTA: dns; example.com.au
X-Postfix-Queue-ID: 661DC5D1DE
X-Postfix-remetente: RFC822; dan@example.com.au
Chegada-Date: Tue, 05 maio de 2009 06:21:38 +1000 (EST)

Final-Destinatário: rfc822; dan@example.com.au
Original-Destinatário: rfc822; dan@example.com.au
Ação: Estado falhou: 5.7.0
Remoto-MTA: DNS; 127.0.0.1
Diagnóstico-Code: smtp; 554 5.7.0 Rejeitar, id = 11887-07 -? SPAM

De: Berenice Penez
Data: Mon, 4
Maio 2009 22:21:41 +0200
Para: Assunto: Se fosse você, no forum
?
qualidade confiável e sem atrasos com
Entrega! loja super on-line para
tratamento da doença
http://www.xopfekec.cn/

###############################################

Postfix main.cf (as partes importantes, não completa)

readme_directory = / usr / share / doc / postfix
mydomain_fallback = localhost
message_size_limit = 0
mailbox_size_limit = 0
myhostname = example.com.au
mailbox_transport = cyrus
mydomain = example.com.au
inet_interfaces = all
enable_server_options = yes
mydestination = $ myhostname, localhost. $ mydomain, localhost, example.com.au
smtpd_sasl_auth_enable = yes
smtpd_use_pw_server = yes
smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_unauth_destination, reject_unknown_recipient_domain, reject_unknown_sender_domain, reject_invalid_hostname
smtpd_pw_server_security_options = PLAIN, LOGIN
content_filter = smtp-amavis: [127.0.0.1]: 10024
mynetworks = 127.0.0.0/8, 10.0.1.0/24
smtpd_client_restrictions = permit_sasl_authenticated, reject_rbl_client dnsbl.sorbs.net

Foi útil?

Solução

Alguns pontos diferentes:

  • Esta deve ser em serverfault.com, mas desde que eu não estou no beta não vou respondê-la aqui.

  • A saída do postconf -n é melhor do que incluindo o que você acha que são as linhas relevantes em main.cf. Também incluem linhas relevantes de master.cf se você tem substituições de parâmetro ou outras personalizações em lá.

  • Não aceite em seguida, saltar e-mail assim. Se você estiver usando SpamAssassin como um filtro de pós-fila Postfix (a maneira usual de executá-lo), você precisa se quer tag-e-deliver (e filtro com regras do lado do cliente) ou colocar em quarentena o e-mail sem notificar o remetente. A partir do olhar da sua pergunta, você é provavelmente uma fonte backscatter. Pare com isso. Ver, por exemplo http://www.postfix.org/BACKSCATTER_README.html . Será que consideram amavisd-nova para integrar SpamAssassin em Postfix com todos os tipos de características úteis.

  • Considere colapso todas as suas restrições em smtpd_recipient_restrictions. Em geral, é mais fácil de gerir o fluxo linear de restrições como essa do que lidar com as interações entre smtpd_ {cliente, helo, remetente, destinatário} _restrictions.

  • Para evitar Postfix de aceitar correio a partir do exterior, adicionar um mapa sender_access que rejeita mail dizendo ser de seus domínios:

smtpd_recipient_restrictions = 
  permit_sasl_authenticated, 
  permit_mynetworks, 
  reject_unauth_destination, 
  check_sender_access hash:$config_directory/reject_mydomains
  reject_unknown_recipient_domain,
  reject_unknown_sender_domain,
  reject_invalid_hostname

E em reject_mydomains

example.com.au REJECT you are not me

Isto irá provavelmente ser propenso a falsos positivos com correio que vem de remetentes com um legítimo (?) Razão para usar seu domínio como o remetente do envelope (E-cards, convites, talvez algum serviço terceirizado como inquéritos ou outros enfeites). Você pode whitelist em torno de seu você-está-não-me governa com um mapa client_access antes de seu mapa sender_access que retorna OK ou uma classe de restrição apropriada (ver http://www.postfix.org/RESTRICTION_CLASS_README.html ).

Você pode usar cheques HELICÓPTERO semelhantes a eliminar clientes HELO-ing com seu próprio nome de host / IP ou conhecidos cordas HELICÓPTERO maus

smtpd_recipient_restrictions = 
  permit_sasl_authenticated, 
  permit_mynetworks, 
  reject_unauth_destination, 
  check_helo_access hash:$config_directory/helo_checks
  check_sender_access hash:$config_directory/reject_mydomains
  reject_unknown_recipient_domain,
  reject_unknown_sender_domain,
  reject_invalid_hostname

e em helo_checks:

example.com.au             REJECT BAD-HELO you are not example.com.au
mailserver.example.com.au  REJECT BAD-HELO you are not me
localhost                  REJECT BAD-HELO you are not me
localhost.localdomain      REJECT BAD-HELO you are not me
# where 1.2.3.4 is the IP of your server
1.2.3.4                    REJECT BAD-HELO you are not me
127.0.0.1                  REJECT BAD-HELO you are not me

Por fim, é uma idéia muito boa para se inscrever em um bom serviço de reputação, como uma RBL. A melhor RBL na maioria dos casos é zen.spamhaus.org . É livre para usar a luz carrega a moderada, e se o seu uso é alta o suficiente para atravessar a sua / limiar pago livre, o custo é bem a pena. Para configurar no Postfix, adicione

reject_rbl_client zen.spamhaus.org

a seus smtpd_recipient_restrictions. Faça isso após seus cheques locais baratos para economizar carga de consulta DNS e latência, mas antes de cheques locais caros, como reject_unverified_recipient (você não está usando esse e provavelmente não precisa-lo de sua descrição do problema).

Licenciado em: CC-BY-SA com atribuição
Não afiliado a StackOverflow
scroll top