Вопросы Теги

Amavis / Spamassassin - FORGED_SPF_HELO и SPF_HELO_PASS

У меня есть веб-сервер, который рассылает электронные письма типа веб-формы через Postfix 3.3.0. Входящего нет. Никаких дополнительных услуг.

На принимающем почтовом сервере работает тот же Postfix (но с amavis-new / spamassassin + dovecot / и т. Д.). Они оба находятся в одном домене, но в разных поддоменах ('www.' И 'mail.').

Когда тестовое электронное письмо отправляется (с помощью команды postfix sendmail) с веб-сервера на почтовый сервер, все идеально, за исключением оценка по HELO / EHLO. Я продолжаю получать FORGED_SPF_HELO . Я никогда не сталкивался с этим раньше, и документации мало. Однако кажется очевидным, что он не передает поиск SPF на HELO.

Первоначальный DNS был просто «www». как CNAME для записи вершины A.
SPF вершины включает запись «a»: «v = spf1 a mx ~ all»

HELO из журнала: helo = www.example.net, Тесты: [ALL_TRUSTED = -1, FORGED_SPF_HELO = 1, MISSING_HEADERS = 1.207, MISSING_SUBJECT = 1.767]

Я скорректировал www. запись, так что это была запись A, и для нее отдельно добавлена ​​запись SPF TXT.

Теперь я получаю: helo = www.example.net, тесты: [ALL_TRUSTED = -1, FORGED_SPF_HELO = 1, MISSING_HEADERS = 1.207 , MISSING_SUBJECT = 1.767, SPF_HELO_PASS = -0.001]

Подделано и прошло?

Главный вопрос:
Может ли кто-нибудь объяснить, почему в первую очередь a в SPF не разрешает CNAME 'www.' пройти? Во-вторых, может ли кто-нибудь объяснить, как можно одновременно «подделать» и «пройти»?

1
задан 1 January 2020 в 18:42
1 ответ

Правило FORGED_SPF_HELO прибыло из обновлений Spamassassin. Путем захвата папки конфигурации (/var/lib/spamassassin, по крайней мере, на Debianoids) Вы будете видеть определение: 

meta    FORGED_SPF_HELO     __HELO_NOT_RDNS && SPF_HELO_PASS && !SPF_PASS
header  __HELO_NOT_RDNS     X-Spam-Relays-External =~ /^[^\]]+ rdns=(\S+) helo=(?!\1)\S/
header   SPF_PASS           eval:check_for_spf_pass()
header   SPF_HELO_PASS      eval:check_for_spf_helo_pass()

Вы приводите правило __HELO_NOT_RDNS к сбою (обратный поиск DNS для хоста www.example.net не www.example.net), и Вы не имеете SPF_PASS (хост не разрешен послать электронное письмо от имени Вашего домена).

, Так как Вы, конечно, не хотите добавлять www.example.net к списку своего официального почтового сервера, настройте его для отправки электронных писем с отправителями формы user@www.example.net.

1
ответ дан 3 January 2020 в 14:50

Теги

Похожие вопросы