RDNS bulunmayan posta sunucularından postaları reddetmek iyi bir uygulama mı yoksa çok acımasız mı?

20

Son zamanlarda SpamAssassin bıraktım ve şimdi DNSRBL's, gri liste ve diğer temel testler spam reddetme dayanıyorum ve ben de EHLO eşleşen geçerli bir RDNS olmayan ana bilgisayarları engellemek gerekir merak ediyorum?

Bunu yaparsam, çok meşru postalar için sorun çıkarır mıyım ve müşterilerimi üzer miyim? İnsanların AOL'nin bunu yaptığını duyduklarını duydum, bu da beni yapmamın çok nadir olduğunu düşündürüyor.

RDNS'nin en azından bir şeye ayarlandığını kontrol ederek ödün verip alamayacağımı merak ediyorum, ancak EHLO ile eşleştirmeye çalışmayın. Bu Postfix ile mümkün mü (ve kullanışlı mı)?

domain-name-system  email  postfix  reverse-dns 
Peter Snow
kaynak
4
Evet, çok az sayıda insanla ilgili sorunlar olsa bile yaygın olarak yapılır. Bkz. Spam ile Mücadele - E-posta Yöneticisi, Alan Adı Sahibi veya Kullanıcı olarak ne yapabilirim? daha fazla tartışma için.
Michael Hampton
Mathias R. Jessen
Birçok ay önce, Red Hat'ta yeni bir sendmail yüklemesinde geriye doğru arama varsayılan ... Sanırım rDNS, posta sunucuları için resmi bir standart olmasa da, hemen hemen defacto standardı. Dinamik IP adreslerindeki (yani tüketici sınıfı ISP bağlantılarına sahip evler) insanlar üzerinde vidalanır, ancak bir zamanlar, bağlantılara sahip bu dinamik IP'lerin büyük kısmının botnets olduğu ... bugünlerde bilmiyorum.
Avery Payne

Yanıtlar:

10

Ben 100k-200k kullanıcıları arasında oldukça iyi bir büyüklükte müşteri tabanı ile kontrol HELO / EHLO ile birden fazla yaklaşım denedim ve aşağıdakileri yapan bir çözüm ile gidiş sona erdi:

  • HELO / EHLO'nun bir etki alanı adı içerdiğini kontrol edin. - Bu çoğunlukla adın içinde bir nokta olması için kaynar. Adın DNS'inin kontrol edilmesi, sunucunun dahili bir ad veya düzgün bir şekilde çözümleyemediğiniz bir şey sunması için nadir olmayan MANY başarısız sunuculara yol açtı.
  • IP'nin ters DNS kaydına sahip olup olmadığını kontrol edin. - Yine HELO / EHLO'ya karşı kontrol etmediğimiz için bu gevşek bir ayardır. HELO / EHLO'ya karşı kontrol etmek, bu ayarın tek bir gün bile sürmediği kadar çok bilet oluşturdu.
  • Gönderenlerin alan adının geçerli olup olmadığını kontrol edin. - Bu, iletiyi geri döndürmek zorunda kaldığımızdan emin olmak için temel bir kontroldür, en azından bunun için bir sunucu bulmanın bir yolu olacaktır.

İşte bu kontroller için kullandığımız Postfix bloğu:

smtpd_recipient_restrictions =
    reject_non_fqdn_sender,
    reject_unauth_destination,
    reject_unknown_reverse_client_hostname,
    reject_invalid_helo_hostname,
    reject_non_fqdn_helo_hostname,
    reject_unknown_sender_domain,
    reject_non_fqdn_recipient
Ed.
kaynak
1
Ayrıca iyi ek yaklaşım dinamik gibi ISP tarafından atanan çeşitli adlar maçları regexes listesine karşı hostname kontrol etmektir xxxx.dynamic.yyy.comya 12-34-56-78.dsl.zzz.com. Bu tür tüm ana makineler postalarını doğrudan alıcının MX adresine değil, ISS'nin geçişi yoluyla göndermelidir. Temelde bu ana bilgisayarlar botnet düğümleri ve onların bayes öğrenmek için kullandığım mesajları vardır.
Kondybas
Bu benim için bir çözüm olabilir gibi görünüyor. SpamAssassin'i çalıştırmanın ve hepsi tarafından baypas edilmesine izin vermenin bir yolu var mı, HELO'nun RDNS ile eşleşmesi başarısız olan e-postalar hariç, sadece belirli bir puanın üstünde olanları zıplıyoruz? Diğer postalar bu adımı tamamen atlamaya devam ediyor.
Peter Snow
Exim MTA ile bu şekilde yaptım, sırayla: gönderenin addr / host beyaz listeye göre kontrol edilir. Eşleştirilirse - hemen kabul edilirse, başka kara listeye göre kontrol edilir. Eşleşirse - değişken bayrak "Gotcha!" ve mesaj da kabul edilir. İleti listelerden geçtiyse - bu daemon görevi gören SA'ya iletilir. Döndürülen değer yeterince yüksekse, "Yakaladım!" yükseltti ve mesaj da kabul edildi. Sonra mesaj yönlendiricilere geçti.
Kondybas
1
Bayrak kaldırılmazsa mesaj her zamanki gibi iletilir. Aksi takdirde kör kopya üretilir. Orijinal mesaj tekrar her zamanki gibi teslim edilirken, BC taşıma olarak sa-öğrenmesi olan özel yönlendiriciye aktarılır. Bu tür bir düzen, posta akışının SA-bayilerini öğrenen kesinlikle spam şubesine bölünmesine izin verir ve SA-bayes tarafından kontrol edilen geri kalanından şüphelenir. Bayrak kaldırılan iletilerin de "Önemsiz" olarak sıralanmasına izin veren ek bir başlığı vardır
Kondybas
Bu kuralları posta kutuma karşı kontrol ettim ve alan adı olmayan HELO veya ters DNS kaydının bulunmaması nedeniyle reddedilecek e-postalar var. Kuşkusuz çok azı var (40.000 e-posta içeren bir posta kutusunda sadece birkaç gönderici), ancak orada önemli şeyler var. Özellikle, eğer kullansaydım reject_unknown_reverse_client_hostname, belirli bir Güneydoğu Asya ülkesine vize başvurumun sonuçlarını içeren bir e-posta gelmezdi. Ben kullanmanızı tavsiye etmiyoruz reject_invalid_helo_hostnameve reject_unknown_reverse_client_hostname.
michau
12

Bu temel özelliklere sahip olmayan SMTP sunucularını engellemek son derece yaygındır:

  1. HELO iletmedeki ana bilgisayar adı, kaynak IP bağlantısına çözümlenir.
  2. Bağlantı kökenli IP, HELO'da talep edilen Ana Bilgisayar Adına geri döner.
  3. SPF, DKIM veya DMARC ilkeleri varsa, doğrulayın.

Bunlardan biri yüzünden engellenmeyi düşünen herkes katranlı ve tüylü olmalıdır.
Başka nedenlerle, özellikle de "anormal" durumlarda RFC uyumluluğuna dayanan durumlar için engellenen insanlar için sempati duyuyorum. Spam öyle bir sorundur ki, temelleri kaçırmak için hiçbir mazeret yoktur.

Chris S
kaynak
2
HELO ile eşleşmek için geriye doğru aranan ad gerekli değildir. Geriye doğru arama yalnızca bir birincil ad döndürürken, ana makine birçok etki alanını çalıştırabilir.
Kondybas
1
Tabii, ne istersen yapabilirsin. Sizin sever bir elde edilecektir 511 Your rDNS doesn't match your HELObenim sunucularından ve diğerleri bir sürü de. Spam, SMTP RFC tasarımcılarının uğraşmak zorunda olmadığı önemli bir sorundur. Gerçekçi gereksinimler RFC'lerden çok az farklıdır.
Chris S
MTA düzgün yapılandırıldığında spam bir sorun oluşturmaz. Deneyimlerim, (başarısız rDNS OReşleştirilen kısa yerel regex listesi ORbölmeleri eşleşti) istenmeyen postaların% 99,99'unu algıladığını gösteriyor. DNSBL yok, gri liste yok, DKIM yok, SPF yok. Aylık 200 bin + gelen ileti. 1-2 false-p, ayda 10-20 false-n.
Kondybas
5

MTA göndermenin geçerli RDNS'ye sahip olmasını beklerdim ancak EHLO'yu eşleştirmede ısrar etmek 'müşterilerin' kim olduğuna bağlıdır. RFC5321'de bazı ilginç yönergeler bulabilirsiniz :

2.3.5.

(...) EHLO komutunda verilen etki alanı adı, birincil ana bilgisayar adı (RR adresine çözümlenen bir etki alanı adı) veya ana bilgisayarın adı yoksa, bir adres değişmez OLMALIDIR (...)

4.1.4.

(...) Bir SMTP sunucusu EHLO komutundaki etki alanı adı bağımsız değişkeninin aslında istemcinin IP adresine karşılık geldiğini doğrulayabilir. Ancak, doğrulama başarısız olursa, sunucu bu iletiyi kabul etmeyi reddetmemelidir.

ama sonra 7.9'da.

Bir SMTP sunucusunun, sunucuyu sağlayan siteye mantıklı gelen herhangi bir operasyonel veya teknik nedenden dolayı posta kabul etmeyi reddedebileceği iyi kurulmuş bir ilkedir. (...)

Dusan Bajic
kaynak
1
Bu muhtemelen yasaklanmıştır, çünkü gerçek dünyada EHLO ile gönderilen dize genellikle RFC uyumlu değildir. localhostTamamen yasal postalarla bile, dahili ana bilgisayar adlarını ve buraya gönderilen birçok yanlış şeyi gördüm .
Michael Hampton
3

Geriye doğru arama, HELO'da sağlanan ana bilgisayar adını göstermeyebilir. Bazen aynı ana bilgisayarda birden çok alan adı barındırılır ve tümü aynı IP adresine sahiptir. Ancak geriye doğru aramayı yapmaya çalıştığınızda, PTR kaydına yerleştirilen adı alırsınız. Her iki FQDN'nin farklı olacağı açıktır - ve bu tamamen kabul edilebilir.

İletiyi bırakmaya izin veren tek durum, geriye doğru arama başarısız oldu. Başarılı aramalar, ana makinenin geçerli olduğu anlamına gelir. İsimler eşleşmemelidir.

Kondybas
kaynak
1
Diyerek şöyle devam etti: "Her iki FQDN'nin farklı olacağı açıktır - ve bu tamamen kabul edilebilir." Hayır. Yalnızca bir PTR kaydı yapılandırabilirsiniz ve posta sunucunuz HELO'da yalnızca bir ana bilgisayar adını söyleyebilir. Bu yüzden her ikisinin de eşleşebileceği açık olmalıdır.
Chris S
2

Ben de EHLO eşleşen geçerli bir RDNS olmayan ana bilgisayarları engellemek gerekir merak ediyorum?

Hayır, yapmamalısın. Bir e-postayı yalnızca bir ölçütle engeller, bu kötü bir uygulamadır.

Bunu yaparsam, çok meşru postalar için sorun çıkarır mıyım ve müşterilerimi üzer miyim?

daha olasıdır ve yasal postaları kaybedersiniz

RDNS'nin en azından bir şeye ayarlandığını kontrol ederek ödün verip alamayacağımı merak ediyorum, ancak EHLO ile eşleştirmeye çalışmayın. Bu Postfix ile mümkün mü (ve kullanışlı mı)?

evet, mümkün. Reject_unknown_client_hostname yerine reject_unknown_reverse_client_hostname kullanabilirsiniz

Ne yazık ki, postfix'in "karmaşık karar" için esnek bir seçeneği yok. Örneğin, bu tür postalar için bazı noktalar ekleyebilirsiniz, örneğin

Score = 0 
1. The HELO or EHLO hostname is not in fully-qualified domain or address literal form. Score +=10
2. The HELO or EHLO hostname has no DNS A or MX record. Score +=20
3. The HELO or EHLO hostname is listed with the A record "d.d.d.d" under rbl_domain. Score +=20
4. The sender domain has no DNS A or MX record. Score +=10
5. SPF checks return softfail. Score +=10, fail, Score +=20
...

Ve bunun gibi. Tüm kontroller tamamlandıktan ve Puan> 100'ü geçirdikten sonra postaları reddedebilirsiniz. Aslında böyle bir davranışa sahip olabilirsiniz, ancak kendi politika hizmetinizi yazmanız gerekir

ALex_hha
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.