-2

ローカル ドメインから送信されたように偽装されたスパム メールがメール サーバーによって実際に受け入れられる、新しく構成されたメール サーバーに問題がありますが、メールはそのままでは配信されません。 Undelivered Mail Returned to Sender" をスプーフィングされたローカル ユーザーに送信します。

構成でこれを修正する方法があることは知っていますが、どこにあるのかわかりません。誰かが私を正しい方向に向けてくれることを願っています。

明確にするために、メールサーバーは中継していません。これはローカルユーザーの問題にすぎません. 内部に送信されていないローカルユーザーからのメールをpostfixに拒否させたいです。それはこの問題を止めるでしょう。

何が起こっているのかを示すメールです。ドメインを example.com.au に変更しました。

##############################################


これは、ホスト example.com.au のメール システムです。

申し訳ありませんが、メッセージ
を 1 人または複数の受信者に配信できませんでした。これは、以下に添付ます。

さらに支援が必要な場合は、postmaster にメールを送信してください。

その場合は、この問題レポートを含めてください。
添付された返信メッセージから独自のテキストを削除できます。

メール システム

: ホスト 127.0.0.1[127.0.0.1] は次のように述べています: 554 5.7.0 Reject, id=11887-07 - SPAM (DATA コマンドの終了に対する応答)
?
レポート-MTA:dns; example.com.au
X-Postfix-Queue-ID: 661DC5D1DE
X-Postfix-Sender: rfc822; dan@example.com.au
到着日: 2009 年 5 月 5 日火曜日 06:21:38 +1000 (EST)

Final-Recipient: rfc822;dan@example.com.au
Original-Recipient:rfc822;dan@example.com.au
アクション: 失敗しました Status: 5.7.0
Remote-MTA: dns; 127.0.0.1
診断コード: smtp; 554 5.7.0 拒否、id=11887-07 - スパム?

From: Berenice Penez
日付:
2009 年 5 月 4 日月曜日 22:21:41 +0200
To:件名: フォーラムにいたのはあなたでしたか?

安心の品質で納期遅れなし

病気治療のスーパーオンラインストア
http://www.xopfekec.cn/

##############################################

Postfix main.cf (重要な部分、完全ではありません)

readme_directory = /usr/share/doc/postfix
mydomain_fallback = localhost
message_size_limit = 0
mailbox_size_limit = 0
myhostname = example.com.au
mailbox_transport = cyrus
mydomain = example.com.au
inet_interfaces = all
enable_server_options = yes
mydestination = $myhostname,localhost.$ mydomain,localhost,example.com.au smtpd_sasl_auth_enable
= はい smtpd_use_pw_server
= はい


content_filter = smtp-amavis:[127.0.0.1]:10024
mynetworks = 127.0.0.0/8, 10.0.1.0/24
smtpd_client_restrictions = permit_sasl_authenticated,reject_rbl_client dnsbl.sorbs.net

4

1 に答える 1

2

いくつかの異なる点:

  • これは serverfault.com にあるはずですが、私はベータ版ではないので、ここで回答します。

  • postconf -nの出力は、main.cf に関連する行と思われるものを含めるよりも優れています。パラメータのオーバーライドやその他のカスタマイズがある場合は、master.cf から関連する行も含めます。

  • そのようなバウンスメールを受け入れないでください。Postfix でキュー後のフィルタとして SpamAssassin を使用している場合 (通常の実行方法)、タグを付けて配信する (およびクライアント側のルールでフィルタする) か、送信者に通知せずにメールを隔離する必要があります。あなたの質問の外観から、あなたはおそらく後方散乱源です。やめろ。たとえば、http://www.postfix.org/BACKSCATTER_README.htmlを参照してください。SpamAssassin をあらゆる種類の便利な機能を備えた Postfix に統合するには、amavisd-new を検討してください。

  • すべての制限を smtpd_recipient_restrictions にまとめることを検討してください。一般に、smtpd_{client,helo,sender,recipient}_restrictions 間の相互作用を処理するよりも、そのような制限の直線的な流れを管理する方が簡単です。

  • Postfix が外部からのメールを受け付けないようにするには、あなたのドメインからのものであると主張するメールを拒否する sender_access マップを追加します:

smtpd_recipient_restrictions =
  permit_sasl_authenticated,
  permit_mynetworks,
  reject_unauth_destination,
  check_sender_access ハッシュ:$config_directory/reject_mydomains
  reject_unknown_recipient_domain,
  reject_unknown_sender_domain,
  reject_invalid_hostname

そして reject_mydomains で

example.com.au REJECT あなたは私ではありません

これはおそらく、ドメインをエンベロープ送信者として使用する正当な (?) 理由 (E カード、招待状、調査などの外部委託サービスなど) を持つ送信者からのメールで誤検知を起こしやすくなります。OK または適切な制限クラスを返す sender_access マップの前に client_access マップを使用して、you-are-not-me ルールをホワイトリストに登録できます ( http://www.postfix.org/RESTRICTION_CLASS_README.htmlを参照)。

同様の HELO チェックを使用して、独自のホスト名/IP または既知の不正な HELO 文字列で HELO を実行しているクライアントを除外できます。

smtpd_recipient_restrictions =
  permit_sasl_authenticated,
  permit_mynetworks,
  reject_unauth_destination,
  check_helo_access ハッシュ:$config_directory/helo_checks
  check_sender_access ハッシュ:$config_directory/reject_mydomains
  reject_unknown_recipient_domain,
  reject_unknown_sender_domain,
  reject_invalid_hostname

そしてhelo_checksで:

example.com.au REJECT BAD-HELO あなたは example.com.au ではありません
mailserver.example.com.au REJECT BAD-HELO あなたは私ではありません
localhost REJECT BAD-HELO あなたは私ではありません
localhost.localdomain REJECT BAD-HELO あなたは私ではありません
# 1.2.3.4 はサーバーの IP です
1.2.3.4 REJECT BAD-HELO あなたは私ではない
127.0.0.1 REJECT BAD-HELO あなたは私じゃない

最後に、RBL などの評判の良いサービスに加入することをお勧めします。ほとんどの目的に最適な RBL はzen.spamhaus.orgです。負荷が軽度から中程度の場合は無料で使用できます。使用量が無料/有料のしきい値を超えるほど高い場合は、コストに見合うだけの価値があります. Postfix で設定するには、追加します

reject_rbl_client zen.spamhaus.org

あなたの smtpd_recipient_restrictions に。DNSクエリの負荷と待ち時間を節約するために安価なローカルチェックの後、reject_unverified_recipientなどの高価なローカルチェックの前にそれを行います(あなたはそれを使用しておらず、問題の説明からはおそらく必要ありません).

于 2009-05-05T05:55:52.767 に答える