為什麼?mx記錄和ip不吻合為什麼能收發郵件?
伺服器日誌
Mar 25 08:11:00 mail postfix/policyd-weight: weighted check: CL_IP_NE_HELO=1.5 RESOLVED_IP_IS_NOT_HELO=1.5 (check from: .icbasia. - helo: .icbasia. - helo-domain: .icbasia.) MAIL_SEEMS_FORGED=2.5; <client=61.218.146.138> <helo=icbasia.com> <from=****@icbasia.com> <to=****@btl.org.cn>; rate: 5.5
DNS測試
# host -t mx icbasia.com
icbasia.com mail is handled by 10 icbasia.com.
# host -t a icbasia.com
icbasia.com has address 203.73.136.218
這個郵件發給我的伺服器被拒絕,但是****@icbasia.com給sina收發卻是正常!到底為什麼?
[ 本帖最後由 liuyaming0938 於 2008-3-25 18:09 編輯 ]
《解決方案》
鬱悶好幾天了....
《解決方案》
居然走的DDN專線!還沒搞清楚原理!說什麼通過一個郵件分發器,哎!高級呀!為什麼這些基本的不設置好呢?還是我愚昧....
[ 本帖最後由 liuyaming0938 於 2008-3-26 09:09 編輯 ]
《解決方案》
不是你愚昧,是對方愚昧,我敢肯定對方根本不懂郵件相關的RFC規範,連helo hostname需要fqdn都不知道。這種郵件伺服器太多了,所以反垃圾側率上就要適當寬鬆一些,或者,你的情況,直接可以把對方IP加入白名單,像這樣:
smtpd_recipient_restrictions =
permit_mynetworks
reject_unauth_destination
check_client_access hash:/etc/postfix/ip_black_white_list #黑白名單放在前面
reject_non_fqdn_helo_hostname
reject_unknown_helo_hostname
check_helo_access hash:/etc/postfix/helo_black_white_list
check_helo_access regexp:/etc/postfix/helo_reject_list
check_policy_service unix:private/policy #這條放在後面
把policy delegation 的規則放在最後,這樣postfix先檢查黑白名單,
如果在白名單里,就不經過下面的過濾規則,直接放行郵件了。
[ 本帖最後由 gucuiwen 於 2008-3-26 11:08 編輯 ]
《解決方案》
對於IP和helohost不項符合的問題,我採用的策略基本和你的差不多,但是適當寬鬆一些,比如我只校驗前兩位是否相同,比如對方helo smtp.xyz.com 查出smtp.xyz.com的A記錄或者是MX記錄后,比對實際IP地址,比如連接的IP是202.121.22.6查出的A記錄或者MX記錄是202.121.67.3,前面兩個數字元合,我就認為不是垃圾郵件,暫時先放進來,我認為這是對方的郵件伺服器管理員不懂郵件RFC規範配置不合理而造成的,但對於完全牛頭不對馬嘴的IP地址和helo hostname,我直接用4xx代碼拒絕。沒辦法,真正符合規範,根據規範配置的小郵件伺服器不多啊,只有大型郵件提供商的郵件伺服器對規範的遵循度最高,尤其是163的郵箱,絕對規範,而且對不規範的伺服器的容忍度又非常高,技術上實現得真不錯。值得學習。
舉一個很常見的例子,有些垃圾郵件發送者習慣用helo 163.com來進行SMTP交互,一看就是假的,163.com從來不會用這種helo hostname來和你交談,我就直接把這些郵件拒絕掉,網易發過來的郵件都是helo m13-58.163.com 這樣的域名,而且A記錄和PTR記錄完全吻合。非常符合規範。等有空了我把這些反垃圾郵件經驗總結一下。
《解決方案》
rfc是否有規定
helo name <-------> ip
正向,反向都要關聯?
《解決方案》
原帖由 sosogh 於 2008-3-26 23:46 發表 http://bbs.chinaunix.net/images/common/back.gif
rfc是否有規定
helo name ip
正向,反向都要關聯?
這個沒有規定,但是helo 後面的主機名必須是FQDN,(full quanlified domain name)
比如有的郵件伺服器,他的域名是domain.com,在SMTP交互過程中回應helo domain.com其實是不符合規範的,
應該回應helo smtp.domain.com 。 就是這台主機的具體域名,而不是其所在的域。
[ 本帖最後由 gucuiwen 於 2008-3-27 10:17 編輯 ]
《解決方案》
還有郵件頭(header)內容,郵件體(body)內容等等,都有具體的規範,但很多郵件伺服器發出的郵件都不符合規範,垃圾郵件發送者發的是最不符合規範的, 但有些非垃圾郵件伺服器,由於管理員缺少對規範的了解,配置的也不十分規範。根據我對國內各大郵件提供商郵件的觀察,網易在這方面做的是最到位的。有些配置可以參考他們的做法。
《解決方案》
原帖由 gucuiwen 於 2008-3-26 11:07 發表 http://bbs.chinaunix.net/images/common/back.gif
不是你愚昧,是對方愚昧,我敢肯定對方根本不懂郵件相關的RFC規範,連helo hostname需要fqdn都不知道。這種郵件伺服器太多了,所以反垃圾側率上就要適當寬鬆一些,或者,你的情況,直接可以把對方IP加入白名單, ...
多謝指教!!!
《解決方案》
對於IP和helohost不項符合的問題,我採用的策略基本和你的差不多,但是適當寬鬆一些,比如我只校驗前兩位是 ...
gucuiwen 發表於 2008-03-26 11:24 http://bbs.chinaunix.net/images/common/back.gif
比如我只校驗前兩位是否相同,比如對方helo smtp.xyz.com 查出smtp.xyz.com的A記錄或者是MX記錄后,比對實際IP地址,比如連接的IP是202.121.22.6查出的A記錄或者MX記錄是202.121.67.3,前面兩個數字元合,我就認為不是垃圾郵件,暫時先放進來
我覺得這個方法挺好,
但如何實現呢?
請大家不吝賜教
