Ave*_*yne 7 email postfix reverse-dns fortigate
这可能应该是一个维基,不完全确定。在我开始之前,执行扫描的外部服务器是一个自定义的 amavis/postfix/fortigate 管道;建议在该环境中进行任何更改。
我为我工作的电子邮件服务器启用了反向查找拒绝,以减少管理层收到的垃圾邮件的流入。是的,这是管理层的要求,请不要开尖头笑话。在这方面,它非常有效,将我们扫描仪的工作量减少了大约 2 或 3 倍。关闭它无异于职业自杀;请不要建议放弃它作为解决方案。
问题很简单:许多合法发件人,无论是作为供应商还是客户,都外包或最低限度地设置他们的电子邮件服务。服务提供商希望通过尽可能最薄、最小的规定来赚钱,因此他们真的不会对让他们的服务完全合规一事毫不在意。那,或者客户/供应商从未听说过反向查找,并且不会费心修复他们的 DNS 区域(或者在某些情况下,他们甚至不控制他们的 DNS,这是另一天的话题)。这确实是一个简单的修复,他们只需要创建一个与连接 IP 地址匹配的反向查找记录。 服务器的主机名或域名与发件人的域不匹配都没有关系,重要的是对服务器的查找完成了“往返”
我没有一整天的时间去追逐每一个人并打电话,坦率地说,他们中的一些人不会接受电话中的纠缠。但是,出现故障的服务器的数量令人震惊,而且“特殊异常反向查找绕过列表”随着几个新 IP 地址的增加而增长,这一个月过去了。
所以问题是通知合法发件人他们的电子邮件基本上已损坏并需要修复的最佳方式是什么,而不是完全取笑他们?是否有某种方法可以自动通知他们,以便他们获得所需的信息,而不是他们永远不会费心阅读的乏味的拒绝消息?(我保证 99% 的客户和供应商都是非技术人员,只是将其视为“好吧,是您的电子邮件服务器坏了”)
在聊天中进行了一些进一步的讨论后,我回去查看了正在使用的配置文件,我想我已经找到了我的一部分悲伤。正在使用以下选项:
http://www.postfix.org/postconf.5.html#reject_unknown_client_hostname
根据该页面,此选项有严格的要求,因此我认为它会导致一些误报。
exim可以使用 ACL 检测 A 记录的存在和 PTR 记录的不存在,然后可以通过路由器执行任何操作。$sender_host_name,$host_lookup_failed并$host_lookup_deferred完成所有的技巧。
问题是垃圾邮件发送者经常使用配置不当但仍然合法的主机来提交(ISP 的动态寻址客户端 fe)。因此,大多数通知将发送给垃圾邮件发送者。
避免无用流量的最简单方法是接受此类消息,根据 AV/SA/bayes 检查它们,并仅在它们通过数据检查时才发送通知。
就这而言exim,只有当$sender_host_name为非空、$host_lookup_failed= 1 并且$spam_score_int小于阈值时,您才必须发出通知。对于这些消息,内容扫描容忍度可能应该显着降低。
不幸的是,我还不够熟悉,postfix无法提出等效的解决方案。
| 归档时间: |
|
| 查看次数: |
365 次 |
| 最近记录: |