क्या यह अच्छा अभ्यास है या कोई आरडीएनएस वाले मेलर्स से मेल को अस्वीकार करने के लिए बहुत कठिन है


20

मैंने हाल ही में SpamAssassin को गिरा दिया है और अब DNSRBL, ग्रे-लिस्टिंग और अन्य बुनियादी परीक्षणों पर स्पैम अस्वीकृति को आधार बना रहा हूं और मैं सोच रहा हूं कि क्या मुझे मेजबान को भी ब्लॉक करना चाहिए जिनके पास EHLO से मेल खाता वैध RDNS नहीं है?

यदि मैं ऐसा करता हूं, तो क्या मैं बहुत अधिक वैध मेल के लिए परेशान होने जा रहा हूं और अपने ग्राहकों को परेशान कर रहा हूं? मैंने लोगों को यह कहते हुए सुना है कि एओएल ऐसा करता है, जिससे मुझे लगता है कि ऐसा करना मेरे लिए बहुत असामान्य है।

मैं यह भी सोच रहा हूं कि क्या मैं यह जांच कर समझौता कर सकता हूं कि आरडीएनएस कम से कम किसी चीज के लिए तैयार है, लेकिन इसे ईएचएलओ से मिलाने की कोशिश न करें। क्या यह पोस्टफिक्स (और क्या यह उपयोगी है) के साथ संभव है?


4
हां, यह आमतौर पर किया जाता है, भले ही बहुत कम संख्या में लोगों के पास इसके मुद्दे हों। लड़ स्पैम देखें - मैं क्या कर सकता हूँ: ईमेल व्यवस्थापक, डोमेन स्वामी, या उपयोगकर्ता? आगे की चर्चा के लिए।
माइकल हैम्पटन


कई चंद्रमा पहले, Red Hat में Sendmail की एक नई स्थापना पर रिवर्स लुकअप डिफ़ॉल्ट था ... मुझे लगता है कि rDNS, जबकि मेल सर्वर के लिए एक औपचारिक मानक नहीं है, बहुत ही खराब मानक है। यह डायनेमिक आईपी एड्रेस (यानी उपभोक्ता ग्रेड आईएसपी कंसेशन वाले घरों) पर लोगों पर शिकंजा कसता है, लेकिन यह एक समय में एक बार ऐसा होता था, कि कनेक्शन वाले उन डायनेमिक आईपी के थोक बॉटनेट थे ... अब के बारे में पता नहीं।
एवरी पायने

जवाबों:


10

मैंने हेलो / EHLO के साथ 100k-200k उपयोगकर्ताओं के बीच काफी सभ्य आकार के ग्राहक आधार के साथ कई दृष्टिकोणों की कोशिश की है और एक समाधान के साथ जा रहा है जो निम्नलिखित कार्य करता है:

  • जांचें कि HELO / EHLO में एक डोमेन नाम है। - यह ज्यादातर उबाल करता है कि नाम में एक डॉट है। नाम पर DNS की जाँच करना MANY विफल सर्वरों के लिए नेतृत्व करता है क्योंकि सर्वर के पास आंतरिक नाम या कुछ ऐसा नहीं है जिसे आप ठीक से हल न कर सकें।
  • जांचें कि आईपी में रिवर्स डीएनएस रिकॉर्ड है। - फिर से यह एक लचर सेटिंग है क्योंकि हम इसे HELO / EHLO के खिलाफ जांच नहीं करते हैं। HELO / EHLO के खिलाफ जाँच करने से इतने सारे टिकट बने कि यह सेटिंग एक दिन भी नहीं चली।
  • भेजने वालों की जाँच करें डोमेन नाम मान्य है। - यह सुनिश्चित करने के लिए एक बुनियादी जांच है कि अगर हमें संदेश को उछालना है तो कम से कम इसके लिए एक सर्वर खोजने का कोई तरीका होगा।

यहाँ पोस्टफिक्स ब्लॉक का उपयोग हम इन जांचों के लिए करते हैं:

smtpd_recipient_restrictions =
    reject_non_fqdn_sender,
    reject_unauth_destination,
    reject_unknown_reverse_client_hostname,
    reject_invalid_helo_hostname,
    reject_non_fqdn_helo_hostname,
    reject_unknown_sender_domain,
    reject_non_fqdn_recipient

1
इसके अलावा अच्छा अतिरिक्त दृष्टिकोण regexes की सूची गतिशील तरह आईएसपी द्वारा आवंटित विभिन्न नामों से मेल खाता है कि के खिलाफ होस्ट नाम की जाँच करने के लिए है xxxx.dynamic.yyy.comया 12-34-56-78.dsl.zzz.com। ऐसे सभी मेजबानों को आईएसपी के रिले के माध्यम से अपना मेल भेजना चाहिए और प्राप्तकर्ता के एमएक्स पर सीधे नहीं। मुख्य रूप से ऐसे मेजबान बॉटनेट नोड्स और उनके संदेश हैं जिनका उपयोग मैंने अपने बे को सीखने के लिए किया है।
कोंडायबस

ऐसा लगता है कि यह मेरे लिए समाधान हो सकता है। क्या SpamAssassin को चलाने का एक तरीका है और इसे उन सभी मेलों को छोड़कर पारित कर दिया जाए, जो RDNS के साथ मिलान में मदद करने में विफल रहे, तो हम केवल उन लोगों को एक निश्चित स्कोर से ऊपर उछालते हैं? अन्य मेल इस चरण को पूरी तरह से बाय-पास करते हैं।
पीटर स्नो

एक्जिम एमटीए के साथ मैंने उस तरह से किया है, क्रमिक रूप से: प्रेषक के एड्र / होस्ट को सफेद सूची के खिलाफ जांचा जाता है। यदि मिलान किया जाता है - तुरंत स्वीकार किया जाता है, तो काली सूची के खिलाफ जांच की जाती है। यदि मिलान किया गया - चर ध्वज "गोत्र!" और संदेश भी स्वीकार किया जाता है। यदि संदेशों को सूचियों के माध्यम से पारित किया गया है - यह SA को पारित किया गया है जो डेमन के रूप में कार्य करता है। यदि उच्च मूल्य वापस लौटा, तो झंडा "गोटचा!" उठाया और संदेश भी स्वीकार कर लिया। फिर राउटर को संदेश भेजा गया।
कोंडायबस

1
यदि झंडा नहीं उठाया गया है तो संदेश हमेशा की तरह दिया जाता है। अन्यथा ब्लाइंड कॉपी बनती है। मूल संदेश को हमेशा की तरह फिर से वितरित किया जाता है, जबकि बीसी को विशेष राउटर से पास किया जाता है जिसमें परिवहन के रूप में सा-लर्न होता है। ऐसी योजना मेल-प्रवाह को निश्चित रूप से स्पैम शाखा में विभाजित करने की अनुमति देती है जो SA-Bayes सीखती है, और SA-Bayes द्वारा चेक किए गए बाकी को संदेह है। ध्वज उठाए गए संदेशों में एक अतिरिक्त हेडर भी होता है जो उन्हें "जोड़" में सॉर्ट करने की अनुमति देता है
कोंडायबस

मैंने अपने मेलबॉक्स के खिलाफ उन नियमों की जाँच की, और ऐसे ई-मेल हैं जिन्हें गैर-डोमेन हेलो या रिवर्स DNS रिकॉर्ड की कमी के कारण अस्वीकार कर दिया गया होगा। उनमें से बहुत कम हैं (40 000 ईमेल के साथ एक मेलबॉक्स में सिर्फ कुछ प्रेषक), लेकिन वहाँ महत्वपूर्ण सामान है। विशेष रूप से, अगर मैंने उपयोग किया था, तो reject_unknown_reverse_client_hostnameएक विशेष रूप से दक्षिण पूर्व एशियाई देश में मेरे वीजा आवेदन के परिणामों के साथ एक ईमेल के माध्यम से नहीं आया होगा। मैं उपयोग करने के खिलाफ reject_invalid_helo_hostnameऔर सलाह देता हूँ reject_unknown_reverse_client_hostname
16

12

SMTP सर्वर को ब्लॉक करने के लिए यह बेहद सामान्य है जिसमें ये मूल बातें नहीं हैं:

  1. HELO फ़ॉरवर्ड में होस्टनाम से उत्पन्न IP कनेक्शन को हल करता है।
  2. कनेक्शन का मूल आईपी हेलो में दावा किए गए Hostname के विपरीत होता है।
  3. यदि SPF, DKIM या DMARC नीतियाँ मौजूद हैं, तो सत्यापित करें।

इनमें से किसी एक के कारण अवरुद्ध होने के बारे में किसी को भी पकड़ लिया जाना चाहिए और उसे छेड़ दिया जाना चाहिए।
जो लोग अंत में अन्य कारणों से अवरुद्ध हो रहे हैं, विशेष रूप से ऐसी परिस्थितियां जो "असामान्य" स्थितियों में आरएफसी अनुरूपता पर भरोसा करती हैं, मेरे लिए सहानुभूति होगी। स्पैम एक ऐसी समस्या है जो मूल बातें याद करने के लिए हालांकि कोई बहाना नहीं है।


2
उल्टे लुकआउट नाम को HELO से मेल खाना आवश्यक नहीं है। होस्ट डोमेन का एक बहुत कुछ संचालित कर सकता है, जबकि रिवर्स लुकअप केवल एक प्राथमिक नाम देता है।
कोंडायबस

1
ज़रूर, आप जो चाहें कर सकते हैं। आपका विच्छेद 511 Your rDNS doesn't match your HELOमेरे सर्वर से हो रहा होगा , और साथ ही साथ अन्य लोगों का भी। स्पैम एक बड़ी समस्या है, जिससे SMTP RFC के डिजाइनरों को निपटना नहीं पड़ा। यथार्थवादी आवश्यकताएँ RFC से थोड़े अलग तरीके से अलग होती हैं।
क्रिस एस।

जब एमटीए ठीक से कॉन्फ़िगर किया गया हो तो स्पैम कोई समस्या नहीं है। मेरे अनुभव से पता चलता है कि (असफल rDNS का ORमिलान लघु स्थानीय रेगेक्स-लिस्ट ORबे से मिलान किया गया) 99.99% स्पैम का पता लगाता है। कोई DNSBLs, कोई greylists, कोई DKIM, कोई SPF। 200k + आने वाले संदेश मासिक। 1-2 झूठी-पी, 10-20 झूठी-एन प्रति माह।
कोंडायबस

5

मैं एमटीए को वैध आरडीएनएस भेजने की उम्मीद करूंगा लेकिन ईएचएलओ से मेल खाने पर जोर देना इस बात पर निर्भर करेगा कि ग्राहक कौन हैं। आप RFC5321 में कुछ दिलचस्प दिशानिर्देश पा सकते हैं :

2.3.5।

(...) EHLO कमांड में दिया गया डोमेन नाम या तो एक प्राथमिक होस्ट नाम होना चाहिए (एक डोमेन नाम जो एक पते RR का समाधान करता है) या, यदि होस्ट का कोई नाम नहीं है, तो एक पता शाब्दिक (...)

4.1.4।

(...) एक SMTP सर्वर मई सत्यापित करता है कि EHLO कमांड में डोमेन नाम तर्क वास्तव में क्लाइंट के आईपी पते से मेल खाता है। हालाँकि, यदि सत्यापन विफल रहता है, तो सर्वर को उस आधार पर संदेश स्वीकार करने से मना नहीं करना चाहिए।

लेकिन फिर 7.9 में।

यह एक अच्छी तरह से स्थापित सिद्धांत है कि एसएमटीपी सर्वर किसी भी परिचालन या तकनीकी कारण के लिए मेल को स्वीकार करने से इनकार कर सकता है जो सर्वर प्रदान करने वाली साइट के लिए समझ में आता है। (...)


1
यह संभवतः निषिद्ध है क्योंकि वास्तविक दुनिया में ईएचएलओ के साथ भेजे गए तार, अक्सर आरएफसी-अनुरूप नहीं होते हैं। मैंने आंतरिक होस्टनाम, localhostऔर कई अन्य गलत चीजें यहां भेजी हैं, यहां तक ​​कि पूरी तरह से वैध मेल के साथ भी।
माइकल हैम्पटन

3

आवश्यक रूप से रिवर्स लुकअप हेलो में दिए गए होस्टनाम को इंगित नहीं करता है। कभी-कभी एक ही होस्ट पर कई डोमेन होस्ट किए जाते हैं, और उन सभी का एक ही आईपी पता होता है। लेकिन जब आप रिवर्स लुकअप करने की कोशिश करते हैं, तो आपको वह नाम मिलेगा जो PTR-record में रखा गया है। यह स्पष्ट है कि दोनों FQDN अलग होंगे - और यह पूरी तरह से स्वीकार्य है।

एकमात्र परिस्थिति जो संदेश छोड़ने की अनुमति देती है, वह रिवर्स लुकअप विफल है। किसी भी रसीले देखने का मतलब है कि मेजबान वैध है। नामों का मिलान नहीं होना चाहिए।


1
"यह स्पष्ट है कि दोनों FQDN अलग होंगे - और यह पूरी तरह से स्वीकार्य है।" नहीं। आप केवल एक पीटीआर रिकॉर्ड को कॉन्फ़िगर कर सकते हैं और आपका मेल सर्वर केवल हेलो में एक होस्टनाम की घोषणा कर सकता है। इसलिए यह स्पष्ट होना चाहिए कि दोनों मैच कर सकते हैं।
क्रिस एस

2

मैं सोच रहा हूं कि क्या मुझे भी मेजबान को ब्लॉक करना चाहिए जिनके पास ईडीएलओ से मेल खाता वैध आरडीएनएस नहीं है?

नहीं, आपको नहीं करना चाहिए। एक पूरे ईमेल को केवल एक मापदंड से ब्लॉक करता है यह एक बुरा अभ्यास है।

यदि मैं ऐसा करता हूं, तो क्या मैं बहुत अधिक वैध मेल के लिए परेशान होने जा रहा हूं और अपने ग्राहकों को परेशान कर रहा हूं?

अधिक संभावना है कि आप करते हैं और वैध मेल खो देंगे

मैं यह भी सोच रहा हूं कि क्या मैं यह जांच कर समझौता कर सकता हूं कि आरडीएनएस कम से कम किसी चीज के लिए तैयार है, लेकिन इसे ईएचएलओ से मिलाने की कोशिश न करें। क्या यह पोस्टफिक्स (और क्या यह उपयोगी है) के साथ संभव है?

हाँ, यह संभव है। आप reject_unknown_client_hostname के बजाय reject_unknown_reverse_client_hostname का उपयोग कर सकते हैं

दुर्भाग्य से, पोस्टफ़िक्स में "जटिल निर्णय" के लिए एक लचीला विकल्प नहीं है। एक्जिम में आप ऐसे मेल के लिए कुछ बिंदु जोड़ सकते हैं, उदाहरण के लिए

Score = 0 
1. The HELO or EHLO hostname is not in fully-qualified domain or address literal form. Score +=10
2. The HELO or EHLO hostname has no DNS A or MX record. Score +=20
3. The HELO or EHLO hostname is listed with the A record "d.d.d.d" under rbl_domain. Score +=20
4. The sender domain has no DNS A or MX record. Score +=10
5. SPF checks return softfail. Score +=10, fail, Score +=20
...

और इसी तरह। सभी जाँच पूरी होने के बाद और यदि आपके पास स्कोर> 100 है, तो आप मेल को अस्वीकार कर सकते हैं। वास्तव में आप ऐसा व्यवहार प्राप्त कर सकते हैं, लेकिन आपको अपनी स्वयं की नीति सेवा लिखने की आवश्यकता होगी

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.