Фильтр содержимого Postfix (spamassassin) не работает
В последнее время мы ' мы получаем много японских спам-сообщений со странными заголовками. По крайней мере, похоже, что почта предлагается удаленно, но почта обрабатывается так, как если бы она была отправлена внутренне, что обходит фильтры содержимого.
Received: by mail.mydomain.tld (Postfix, from userid 5001)
id 6B03E49E06C; Fri, 20 Jul 2018 16:11:41 +0200 (CEST)
Received: from mail.mydomain.tld (mail.mydomain.tld [127.0.0.1])
by mail.mydomain.tld (Postfix) with ESMTP id 9D42049E05D
for <MAILER-DAEMON@mail.mydomain.tld>; Fri, 20 Jul 2018 16:11:41 +0200 (CEST)
Received: from uc.cn (unknown (80.223.20.65])
by uc.cn with SMTP id 9b2d56fa-9aab-41fd-bf0b-dc1fcc4d8b6b;
for <3511568185@qq.com>;Fri, 20 Jul 2018 22:11:52 +08:00
Received: from uc.cn (unknown [222.185.22.12])
by mail.mydomain.tld (Postfix) with SMTP id 910DF49E05D
for <MAILER-DAEMON@mail.mydomain.tld>; Fri, 20 Jul 2018 16:11:39 +0200 (CEST)
Received: by mail.mydomain.tld (Postfix)
id B312049E05F; Fri, 20 Jul 2018 16:11:41 +0200 (CEST)
Return-Path: <3511568185@qq.com>
From: =?utf-8?B?6aG+5YWx?= <3511568185@qq.com>
To: <MAILER-DAEMON@mail.mydomain.tld>
Subject: =?utf-8?B?54aK546rfumdouivleaIkOWKn37opoHpgIHkvaAxODjntrXph5Eg5Yqg?=
=?utf-8?B?5oiR5LyB6bmFMjgxMzMzOTc3MSDpooYg6L+e5o6lIDU1NDYzOEMwTSAgICA=?=
=?utf-8?B?ICAgIA0KDQoNCg0KDQoNCg0KDQoNCg0KDQoNCg0KDQo=?=
=?utf-8?B?DQogICAgICAgICAgICAgICAgICA=?=
Date: Fri, 20 Jul 2018 16:11:52 +0200
Message-ID: <0cc4d3442fe85281401f36bf39f215c9@qq.com>
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_0E6A_01D42046.4A45B970"
X-Mailer: Microsoft Outlook 15.0
Thread-Index: AQLZY/ijut0x7cMD09Bp+ejCSgrNhw==
Disposition-Notification-To: <3511568185@qq.com>
Мы используем Postfix 2.9.6 с SpamAssassin 3.3.2. связан с помощью -o content_filter с процессом smtp. Мы также запускаем процесс smtps Postfix, также связанный с SA с помощью -o content-filter =
Я просто не могу понять, как сообщение отправляется таким образом и почему фильтры содержимого пропускаются.
Я удивлен, что вы позволили этому сообщению добраться до SpamAssassin. Некоторые из встроенных ограничений Postfix отклонили бы этот спам задолго до того, как он зашел так далеко.
С моего реального почтового сервера:
smtpd_helo_required = yes
Некоторые спамеры не беспокоятся о HELO. Это было, но включение этого параметра позволяет другим проверкам на основе HELO работать должным образом, и их нельзя тривиально обойти, не отправив HELO.
smtpd_helo_restrictions =
# other items ...
reject_invalid_helo_hostname,
reject_unknown_helo_hostname,
# other items ...
Имя хоста HELO, отправленное этим сервером, было недопустимым. Они утверждали, что это uc.cn , но поиск их IP-адреса дал NXDOMAIN, а поиск uc.cn дал другой IP-адрес. reject_invalid_helo_hostname и reject_unknown_helo_hostname отклоняют сообщения от удаленных хостов, которые утверждают, что они не в сообщении EHLO / HELO.
smtpd_recipient_restrictions =
# other items ...
reject_rbl_client bl.spamcop.net,
reject_rbl_client cbl.abuseat.org,
reject_rbl_client zen.spamhaus.org,
reject_rbl_client b.barracudacentral.org,
reject_rbl_client dnsbl-1.uceprotect.net,
check_policy_service unix:private/policy-spf,
# other items ...
IP-адрес, который доставил вам почту, уже есть в многочисленных черных списках спама. Подумайте о добавлении нескольких в вашу конфигурацию, чтобы отклонить наихудший спам до того, как он попадет где-нибудь рядом с вашими серверами.
Проверка записей SPF также привела бы к отклонению этого письма. Установите службу SPF, такую как pypolicyd-spf (здесь используется).
Вы также можете найти интересную литературу Postfix .