Постфикс/Спамассасин:Недоставленное письмо возвращено отправителю [закрыто]

Question

У меня возникла проблема с недавно настроенным почтовым сервером, где спам-сообщения, подделанные так, чтобы они пришли из локального домена, на самом деле принимаются почтовым сервером, но почта не доставляется как есть, спамассасин помечает ее как спам, а затем отправляет электронное письмо " Недоставленное письмо возвращено отправителю» поддельному локальному пользователю.

Я знаю, что есть способ исправить это в конфигурации, но понятия не имею, где, и надеюсь, что кто-нибудь укажет мне правильное направление.

Чтобы внести ясность: почтовый сервер не осуществляет ретрансляцию, это проблема только локального пользователя.Я хочу, чтобы Postfix отклонял любые электронные письма, предположительно от локальных пользователей, которые не отправляются внутри компании.Это остановило бы эту проблему.

Вот электронное письмо, чтобы показать вам, что происходит.Я изменил домен на example.com.au.

###############################################

Это почтовая система на хосте example.com.au.

Мне жаль, что я вынужден сообщить вам, что ваше сообщение не могло быть доставлено
быть доставлено одному или нескольким получателям.Он прикреплен ниже.

Для дальнейшей помощи, пожалуйста отправьте письмо в почтувую службу.

Если вы это сделаете, включите этот отчет о проблеме.Ты можешь
удалите свой собственный текст из прикрепленного возвращенного сообщения.

Почтовая система

:хост 127.0.0.1[127.0.0.1] сказал:554 5.7.0 Отклонить, id=11887-07 - СПАМ (в ответ на завершение команды DATA)
?
Отчетность-MTA: DNS;example.com.au
X-Postfix-Queue-ID:661DC5D1DE
X-Postfix-Отправитель:рфк822;dan@example.com.au
Дата прибытия:Вт, 5 мая 2009 г. 06:21:38 +1000 (EST)

Конечный получатель:rfc822;dan@example.com.au
Первоначальный получатель:rfc822;dan@example.com.au
Действие:не удалось Статус:5.7.0
Удаленный-MTA:DNS;127.0.0.1
Диагностический код:смтп;554 5.7.0 Отклонить, id=11887-07 - СПАМ ?

От:Беренис Пенез
Дата:Пн, 4
Май 2009 22:21:41 +0200
К: Предмет:Это были вы на форуме?

Надежное качество и отсутствие задержек с
доставка!Супер интернет-магазин для
лечение болезней
http://www.xopfekec.cn/

###############################################

Postfix main.cf (важные части, не завершены)

readme_directory = /usr/share/doc/postfix
mydomain_fallback = локальный хост
message_size_limit = 0
почтовый ящик_size_limit = 0
имя_хоста = example.com.au
mailbox_transport = Сайрус
мойдомен = example.com.au
inet_interfaces = все
Enable_server_options = да
mydestination = $myhostname,localhost.$mydomain,localhost,example.com.au
smtpd_sasl_auth_enable = да
smtpd_use_pw_server = да
smtpd_recipient_restrictions = Permit_sasl_authenticated,permit_mynetworks,reject_unauth_destination,reject_unknown_recipient_domain,reject_unknown_sender_domain,reject_invalid_hostname
smtpd_pw_server_security_options = обычный, вход
content_filter = smtp-amavis:[127.0.0.1]:10024
мои сети = 127.0.0.0/8, 10.0.1.0/24
smtpd_client_restrictions = разрешено_sasl_authenticated,reject_rbl_client dnsbl.sorbs.net

Answer 1

Несколько разных моментов:

• Это должно быть на serverfault.com, но, поскольку я не участвую в бета-тестировании, я отвечу здесь.

• Выход постконф -н лучше, чем включать в main.cf то, что, по вашему мнению, является соответствующими строками.Также включите соответствующие строки из master.cf, если у вас есть переопределения параметров или другие настройки.

• Не принимайте, а затем отклоняйте такие письма.Если вы используете SpamAssassin в качестве фильтра после очереди в Postfix (обычный способ его запуска), вам необходимо либо пометить и доставить (и отфильтровать с помощью правил на стороне клиента), либо поместить почту в карантин без уведомления отправителя.Судя по вашему вопросу, вы, вероятно, являетесь источником обратного рассеяния.Прекрати это.См. например http://www.postfix.org/BACKSCATTER_README.html.Рассмотрите amavisd-new для интеграции SpamAssassin в Postfix со всеми видами полезных функций.

• Рассмотрите возможность свертывания всех ваших ограничений в smtpd_recipient_restrictions.Обычно проще управлять таким линейным потоком ограничений, чем иметь дело с взаимодействием между smtpd_{client,helo,sender,recipient}_restrictions.

• Чтобы запретить Postfix принимать почту извне, добавьте карту sender_access, которая отклоняет почту, утверждающую, что она пришла из ваших доменов:

smtpd_recipient_restrictions = 
  permit_sasl_authenticated, 
  permit_mynetworks, 
  reject_unauth_destination, 
  check_sender_access hash:$config_directory/reject_mydomains
  reject_unknown_recipient_domain,
  reject_unknown_sender_domain,
  reject_invalid_hostname

И в ignore_mydomains

example.com.au REJECT you are not me

Это, вероятно, будет подвержено ложным срабатываниям с почтой, поступающей от отправителей, имеющих законную (?) причину использовать ваш домен в качестве отправителя конверта (электронные открытки, приглашения, возможно, какие-то сторонние услуги, такие как опросы или что-то еще).Вы можете внести в белый список правила «вы не я», используя карту client_access перед картой sender_access, которая возвращает OK или соответствующий класс ограничений (см. http://www.postfix.org/RESTRICTION_CLASS_README.html).

Вы можете использовать аналогичные проверки HELO, чтобы отсеять клиентов, использующих HELO с вашим собственным именем хоста/IP или известными неверными строками HELO.

smtpd_recipient_restrictions = 
  permit_sasl_authenticated, 
  permit_mynetworks, 
  reject_unauth_destination, 
  check_helo_access hash:$config_directory/helo_checks
  check_sender_access hash:$config_directory/reject_mydomains
  reject_unknown_recipient_domain,
  reject_unknown_sender_domain,
  reject_invalid_hostname

и в helo_checks:

example.com.au             REJECT BAD-HELO you are not example.com.au
mailserver.example.com.au  REJECT BAD-HELO you are not me
localhost                  REJECT BAD-HELO you are not me
localhost.localdomain      REJECT BAD-HELO you are not me
# where 1.2.3.4 is the IP of your server
1.2.3.4                    REJECT BAD-HELO you are not me
127.0.0.1                  REJECT BAD-HELO you are not me

Наконец, очень хорошая идея — подписаться на хорошую службу репутации, например RBL.Лучшим RBL для большинства целей является zen.spamhaus.org.Его можно использовать бесплатно для легких и умеренных нагрузок, и если ваше использование достаточно велико, чтобы преодолеть порог бесплатного/платного, затраты того стоят.Для настройки в Postfix добавьте

reject_rbl_client zen.spamhaus.org

к вашему smtpd_recipient_restrictions.Делайте это после дешевых локальных проверок, чтобы сэкономить на нагрузке и задержке DNS-запросов, но перед дорогостоящими локальными проверками, такими как ignore_unverified_recipient (вы не используете их и, вероятно, не нуждаетесь в них из описания вашей проблемы).