Postfix

繞過後綴內容過濾器(spamassassin)

  • August 7, 2018

最近我們收到了很多日本垃圾郵件,其中包含奇怪的標題。至少,它看起來像是遠端提供的郵件,但郵件的處理方式就像是內部發送的一樣,繞過了內容過濾器。

Received: by mail.mydomain.tld (Postfix, from userid 5001)
   id 6B03E49E06C; Fri, 20 Jul 2018 16:11:41 +0200 (CEST)
Received: from mail.mydomain.tld (mail.mydomain.tld [127.0.0.1])
   by mail.mydomain.tld (Postfix) with ESMTP id 9D42049E05D
   for <MAILER-DAEMON@mail.mydomain.tld>; Fri, 20 Jul 2018 16:11:41 +0200 (CEST)
Received: from uc.cn (unknown (80.223.20.65])
    by uc.cn with SMTP id 9b2d56fa-9aab-41fd-bf0b-dc1fcc4d8b6b;
    for <3511568185@qq.com>;Fri, 20 Jul 2018 22:11:52 +08:00
Received: from uc.cn (unknown [222.185.22.12])
   by mail.mydomain.tld (Postfix) with SMTP id 910DF49E05D
   for <MAILER-DAEMON@mail.mydomain.tld>; Fri, 20 Jul 2018 16:11:39 +0200 (CEST)
Received: by mail.mydomain.tld (Postfix)
   id B312049E05F; Fri, 20 Jul 2018 16:11:41 +0200 (CEST)
Return-Path: <3511568185@qq.com>
From: =?utf-8?B?6aG+5YWx?= <3511568185@qq.com>
To: <MAILER-DAEMON@mail.mydomain.tld>
Subject: =?utf-8?B?54aK546rfumdouivleaIkOWKn37opoHpgIHkvaAxODjntrXph5Eg5Yqg?=
   =?utf-8?B?5oiR5LyB6bmFMjgxMzMzOTc3MSDpooYg6L+e5o6lIDU1NDYzOEMwTSAgICA=?=
   =?utf-8?B?ICAgIA0KDQoNCg0KDQoNCg0KDQoNCg0KDQoNCg0KDQo=?=
   =?utf-8?B?DQogICAgICAgICAgICAgICAgICA=?=
Date: Fri, 20 Jul 2018 16:11:52 +0200
Message-ID: <0cc4d3442fe85281401f36bf39f215c9@qq.com>
MIME-Version: 1.0
Content-Type: multipart/alternative;
   boundary="----=_NextPart_000_0E6A_01D42046.4A45B970"
X-Mailer: Microsoft Outlook 15.0
Thread-Index: AQLZY/ijut0x7cMD09Bp+ejCSgrNhw==
Disposition-Notification-To: <3511568185@qq.com>

我們將 Postfix 2.9.6 與 SpamAssassin 3.3.2 一起使用。連結-o content_filter到 smtp 程序。我們也在執行 Postfix 的 smtps 程序,也使用連結到 SA-o content-filter=

我根本不知道郵件是如何以這種方式送出的,以及為什麼內容過濾器會被繞過。

我很驚訝你讓這條消息傳到 SpamAssassin。Postfix 的一些內置限制會在垃圾郵件到達之前很久就拒絕它。

從我的實時郵件伺服器:

smtpd_helo_required = yes

一些垃圾郵件發送者不理會 HELO。這個確實做到了,但是啟用它可以使其他基於 HELO 的檢查正常工作,並且不會因為不發送 HELO 而被輕易繞過。

smtpd_helo_restrictions =
       # other items ...
       reject_invalid_helo_hostname,
       reject_unknown_helo_hostname,
       # other items ...

此伺服器發送的 HELO 主機名無效。他們聲稱是,uc.cn但查找他們的 IP 地址給出了 NXDOMAIN,查找uc.cn給出了不同的 IP 地址。reject_invalid_helo_hostnamereject_unknown_helo_hostname拒絕來自聲稱自己不在 EHLO/HELO 消息中的遠端主機的消息。

smtpd_recipient_restrictions =
       # other items ...
       reject_rbl_client bl.spamcop.net,
       reject_rbl_client cbl.abuseat.org,
       reject_rbl_client zen.spamhaus.org,
       reject_rbl_client b.barracudacentral.org,
       reject_rbl_client dnsbl-1.uceprotect.net,
       check_policy_service unix:private/policy-spf,
       # other items ...

將郵件發送給您的 IP 地址已經在眾多垃圾郵件黑名單中。考慮在您的配置中添加一些,以在最嚴重的垃圾郵件到達您的伺服器附近之前拒絕它。

檢查 SPF 記錄也會導致此郵件被拒絕。安裝 SPF 服務,例如pypolicyd-spf(在此處使用)。

您可能還會發現Postfix 文件很有趣。

引用自:https://serverfault.com/questions/925254