Рейтинг:1

Как настроить postfix для отклонения всей электронной почты, в которой нет определенного поля «от»?

флаг in

У меня есть SMTP-ретранслятор, который ретранслирует на наш сервер пересылки электронной почты, но в настоящее время он принимает почту от всех видов неприятных спамеров, и наш узел пересылки электронной почты (справедливо) приостановил пересылку, пока мы не сможем еще немного заблокировать все. Поэтому я хотел бы заблокировать это реле, чтобы только электронные письма с определенным значением «от» принимались в качестве хорошего начала.

Согласно Q-A в Отклонение незарегистрированных отправителей в Postfix, я пытался установить это в main.cf:

smtpd_sender_restrictions =
    хэш check_sender_access:/etc/postfix/acl_unknown_permited
    reject_unlisted_sender

..и создание нового файла /etc/postfix/acl_unknown_permited со следующим содержанием:

разрешение [email protected]

... с соответствующим именем сервера.

Это не похоже на отклонение электронной почты, хотя и устанавливает адрес отправителя на что-то за пределами действительный@server.com нравиться [email protected] не отвергается.

Есть ли другой параметр, который может переопределить то, что я установил здесь?

Единственное, что, как мне кажется, может пойти наперекосяк на данный момент, это то, что цель нашего ретранслятора в настоящее время откладывает попытки отправки электронной почты. Может ли это маскировать проблему (я ожидал, что отказ произойдет до того, как мы столкнемся со следующей ошибкой, и я опасаюсь открывать следующий этап, пока мы полностью не привяжем реле)?

25 апреля 22:13:37 smtp-relay postfix/smtp[447151]: BE0FB4247C: to=<[email protected]>, relay=email.forwarder.com [X.X.X.X]:587, задержка=0,29, задержки=0,09/ 0.02/0.17/0, dsn=4.0.0, status=deferred (Аутентификация SASL не удалась; сервер email.forwarder.com [X.X.X.X] сообщил: 535 Слишком много неудачных запросов на вход от Y.Y.Y.Y. Повторите попытку позже. #MS-ST-D)
Рейтинг:1
флаг fr
anx

Звучит как начало более масштабной переоценки, поэтому давайте начнем с двух пунктов:

  1. Постфикс SMTPd ограничения применяются в демоне SMTP: один раз, выбирая, принимать ли отправленную почту и ставить ее в очередь, или отклонять ее. После введения дополнительных ограничений на недавно принятый почте, вам все равно придется вручную отсортировать нежелательную почту уже принято в свою очередь. Бег пост-очередь -p для создания списка того, как в настоящее время выглядит очередь. Если вы не можете легко определить, что каждый элемент очереди является неавторизованным, вы найдете способы отделить зерна от плевел, взглянув вверх. постсупер инструкции.

  2. Просто наложение ограничений на допустимые конверт отправители могут иметь незначительное влияние или не иметь никакого влияния на объем ретранслируемого спама — спамеры, скорее всего, могут по-прежнему отправлять почту, используя любой заголовок от адреса и любого содержания. Вы, вероятно, хотите применять существенные дополнительные ограничения, например, требуя от отправителя аутентифицироватьили требовать, чтобы почта исходила из определенного сети (IPv4/IPv6) под вашим контролем (часто это делается с помощью настройки мои сети).

флаг in
Это еще не работает, поэтому я попытался удалить все из текущей очереди, чтобы избежать путаницы с пунктом (1), и добавил ограничение, но имеет смысл аутентификация отправителя с помощью имени пользователя и пароля, установленных в аспекте SMTPd. Можно ли сделать это, (скажем) требуя локальную учетную запись пользователя без изменения адреса электронной почты из поля и т. д. (мне нужно, чтобы это соответствовало моим текущим настройкам для реле на следующем прыжке, чтобы принять его, я полагаю)?
anx avatar
флаг fr
anx
@JonCage Хотя существуют условия для настройки отношений между адресом отправителя и методом / именем пользователя, используемым при определении авторизации, нет необходимости строго связывать их. Postfix также вполне доволен конфигурацией «каждый, кто может отправлять почту, обрабатывается одинаково».
флаг in
Большой! Можете ли вы указать мне направление настроек, которые контролируют аутентификацию smtpd-соединений? Это где `smtpd_sasl_type` и либо dovecot, либо Cyrus?
флаг in
Я следовал приведенному здесь руководству, чтобы настроить cyrus для использования SASL на SMTPD, и, похоже, это помогло. http://www.linux-admins.net/2020/03/postfix-as-sasl-authenticated-tls.html Спасибо за указатели:!

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.