Postfix
繞過後綴內容過濾器(spamassassin)
最近我們收到了很多日本垃圾郵件,其中包含奇怪的標題。至少,它看起來像是遠端提供的郵件,但郵件的處理方式就像是內部發送的一樣,繞過了內容過濾器。
Received: by mail.mydomain.tld (Postfix, from userid 5001) id 6B03E49E06C; Fri, 20 Jul 2018 16:11:41 +0200 (CEST) Received: from mail.mydomain.tld (mail.mydomain.tld [127.0.0.1]) by mail.mydomain.tld (Postfix) with ESMTP id 9D42049E05D for <MAILER-DAEMON@mail.mydomain.tld>; Fri, 20 Jul 2018 16:11:41 +0200 (CEST) Received: from uc.cn (unknown (80.223.20.65]) by uc.cn with SMTP id 9b2d56fa-9aab-41fd-bf0b-dc1fcc4d8b6b; for <3511568185@qq.com>;Fri, 20 Jul 2018 22:11:52 +08:00 Received: from uc.cn (unknown [222.185.22.12]) by mail.mydomain.tld (Postfix) with SMTP id 910DF49E05D for <MAILER-DAEMON@mail.mydomain.tld>; Fri, 20 Jul 2018 16:11:39 +0200 (CEST) Received: by mail.mydomain.tld (Postfix) id B312049E05F; Fri, 20 Jul 2018 16:11:41 +0200 (CEST) Return-Path: <3511568185@qq.com> From: =?utf-8?B?6aG+5YWx?= <3511568185@qq.com> To: <MAILER-DAEMON@mail.mydomain.tld> Subject: =?utf-8?B?54aK546rfumdouivleaIkOWKn37opoHpgIHkvaAxODjntrXph5Eg5Yqg?= =?utf-8?B?5oiR5LyB6bmFMjgxMzMzOTc3MSDpooYg6L+e5o6lIDU1NDYzOEMwTSAgICA=?= =?utf-8?B?ICAgIA0KDQoNCg0KDQoNCg0KDQoNCg0KDQoNCg0KDQo=?= =?utf-8?B?DQogICAgICAgICAgICAgICAgICA=?= Date: Fri, 20 Jul 2018 16:11:52 +0200 Message-ID: <0cc4d3442fe85281401f36bf39f215c9@qq.com> MIME-Version: 1.0 Content-Type: multipart/alternative; boundary="----=_NextPart_000_0E6A_01D42046.4A45B970" X-Mailer: Microsoft Outlook 15.0 Thread-Index: AQLZY/ijut0x7cMD09Bp+ejCSgrNhw== Disposition-Notification-To: <3511568185@qq.com>
我們將 Postfix 2.9.6 與 SpamAssassin 3.3.2 一起使用。連結
-o content_filter
到 smtp 程序。我們也在執行 Postfix 的 smtps 程序,也使用連結到 SA-o content-filter=
我根本不知道郵件是如何以這種方式送出的,以及為什麼內容過濾器會被繞過。
我很驚訝你讓這條消息傳到 SpamAssassin。Postfix 的一些內置限制會在垃圾郵件到達之前很久就拒絕它。
從我的實時郵件伺服器:
smtpd_helo_required = yes
一些垃圾郵件發送者不理會 HELO。這個確實做到了,但是啟用它可以使其他基於 HELO 的檢查正常工作,並且不會因為不發送 HELO 而被輕易繞過。
smtpd_helo_restrictions = # other items ... reject_invalid_helo_hostname, reject_unknown_helo_hostname, # other items ...
此伺服器發送的 HELO 主機名無效。他們聲稱是,
uc.cn
但查找他們的 IP 地址給出了 NXDOMAIN,查找uc.cn
給出了不同的 IP 地址。reject_invalid_helo_hostname
並reject_unknown_helo_hostname
拒絕來自聲稱自己不在 EHLO/HELO 消息中的遠端主機的消息。smtpd_recipient_restrictions = # other items ... reject_rbl_client bl.spamcop.net, reject_rbl_client cbl.abuseat.org, reject_rbl_client zen.spamhaus.org, reject_rbl_client b.barracudacentral.org, reject_rbl_client dnsbl-1.uceprotect.net, check_policy_service unix:private/policy-spf, # other items ...
將郵件發送給您的 IP 地址已經在眾多垃圾郵件黑名單中。考慮在您的配置中添加一些,以在最嚴重的垃圾郵件到達您的伺服器附近之前拒絕它。
檢查 SPF 記錄也會導致此郵件被拒絕。安裝 SPF 服務,例如pypolicyd-spf(在此處使用)。
您可能還會發現Postfix 文件很有趣。