Domain-Name-System

拒絕來自沒有 RDNS 的郵件伺服器的郵件是一種好的做法還是過於嚴厲

  • July 16, 2014

我最近放棄了 SpamAssassin,現在基於 DNSRBL、灰名單和其他基本測試來拒絕垃圾郵件,我想知道是否還應該阻止沒有與 EHLO 匹配的有效 RDNS 的主機?

如果我這樣做,我是否會為大量合法郵件製造麻煩並讓我的客戶感到不安?我聽說有人抱怨 AOL 這樣做,這讓我覺得這對我來說可能太不常見了。

我還想知道是否可以通過檢查 RDNS 是否至少設置為某種東西來妥協,但不要嘗試將其與 EHLO 匹配。Postfix可以做到這一點(它有用嗎)?

我已經嘗試了多種方法,使用 HELO/EHLO 檢查具有相當規模的 100k-200k 使用者的客戶群,並最終採用了執行以下操作的解決方案:

  • 檢查 HELO/EHLO 是否包含域名。- 這主要歸結為名稱中是否有一個點。檢查名稱上的 DNS 會導致許多伺服器出現故障,因為伺服器提供內部名稱或您無法正確解析的情況並不少見。
  • 檢查 IP 是否有反向 DNS 記錄。– 這又是一個寬鬆的設置,因為我們沒有根據 HELO/EHLO 檢查它。檢查 HELO/EHLO 創建瞭如此多的票證,這個設置甚至沒有持續一天。
  • 檢查發件人域名是否有效。– 這是一項基本檢查,以確保我們是否必須退回郵件,至少有某種方法可以為其找到伺服器。

這是我們用於這些檢查的 Postfix 塊:

smtpd_recipient_restrictions =
   reject_non_fqdn_sender,
   reject_unauth_destination,
   reject_unknown_reverse_client_hostname,
   reject_invalid_helo_hostname,
   reject_non_fqdn_helo_hostname,
   reject_unknown_sender_domain,
   reject_non_fqdn_recipient

引用自:https://serverfault.com/questions/540399