拒绝来自没有 RDNS 的邮件服务器的邮件是好的做法还是过于严厉

Question

我最近放弃了 SpamAssassin，现在基于 DNSRBL、灰名单和其他基本测试来拒绝垃圾邮件，我想知道我是否还应该阻止没有与 EHLO 匹配的有效 RDNS 的主机？

如果我这样做，我是否会为大量合法邮件制造麻烦并使我的客户感到不安？我听说有人抱怨 AOL 这样做，这让我觉得这对我来说可能太罕见了。

我还想知道是否可以通过检查 RDNS 是否至少设置为某些内容来妥协，但不要尝试将其与 EHLO 匹配。Postfix 可以做到这一点（它有用吗）？

Answer 1

阻止没有这些基础知识的 SMTP 服务器是非常常见的：

1. HELO 转发中的主机名解析为源自的 IP 连接。
2. 连接源 IP 反向到 HELO 中声明的主机名。
3. 如果存在 SPF、DKIM 或 DMARC 策略，请进行验证。

任何因为其中之一而抱怨被阻止的人都应该涂上柏油和羽毛。
最终因其他原因被阻止的人，特别是在“异常”情况下依赖 RFC 一致性的情况，我会同情。垃圾邮件是一个这样的问题，但没有任何理由可以忽略基础知识。

Answer 2

我尝试了多种方法，使用 HELO/EHLO 检查与 100k-200k 用户之间相当大的客户群，并最终采用了执行以下操作的解决方案：

• 检查 HELO/EHLO 是否包含域名。- 这主要归结为名称中是否有一个点。检查名称上的 DNS 导致许多服务器出现故障，因为让服务器显示内部名称或无法正确解析的内容并不少见。
• 检查 IP 是否具有反向 DNS 记录。-- 同样，这是一个宽松的设置，因为我们没有对照 HELO/EHLO 进行检查。检查 HELO/EHLO 创建了这么多票，这个设置甚至没有持续一天。
• 检查发件人域名是否有效。-- 这是一项基本检查，以确保我们是否必须退回邮件，至少有某种方法可以为其找到服务器。

这是我们用于这些检查的 Postfix 块：

smtpd_recipient_restrictions =
    reject_non_fqdn_sender,
    reject_unauth_destination,
    reject_unknown_reverse_client_hostname,
    reject_invalid_helo_hostname,
    reject_non_fqdn_helo_hostname,
    reject_unknown_sender_domain,
    reject_non_fqdn_recipient

Answer 3

我希望发送 MTA 具有有效的 RDNS，但坚持匹配 EHLO 将取决于“客户”是谁。您可以在RFC5321 中找到一些有趣的指南：

2.3.5.

(...) EHLO 命令中给出的域名必须是主主机名（解析为地址 RR 的域名），或者，如果主机没有名称，则是地址文字 (...)

4.1.4.

(...) SMTP 服务器可以验证 EHLO 命令中的域名参数实际上对应于客户端的 IP 地址。但是，如果验证失败，服务器不得在此基础上拒绝接受消息。

但后来在 7.9 中。

SMTP 服务器可能出于任何操作或技术原因拒绝接受邮件，这对提供服务器的站点来说是有意义的，这是一个既定的原则。(...)