Pregunta Práctica recomendada: notifique al remitente del correo electrónico que su búsqueda inversa no funciona


Esto probablemente debería ser un wiki, no del todo seguro. Antes de comenzar, el servidor externo que realiza la exploración es un canal personalizado amavis / postfix / fortigate; se sugiere que cualquier cambio funcione dentro de ese entorno.


He habilitado el rechazo de búsqueda inversa para el servidor de correo electrónico de mi trabajo, para reducir el flujo de spam que recibe la administración. Sí, esta fue una solicitud de gestión, no hay chistes puntiagudos por favor. En este sentido, es muy efectivo, ya que reduce la carga de trabajo de nuestros escáneres en aproximadamente un factor de 2 o 3. Apagarlo equivale a un suicidio profesional; Por favor, no sugiera abandonarlo como una solución.

El problema es bastante simple: muchos remitentes legítimos, ya sea como proveedores o clientes, subcontratan o configuran de forma mínima sus servicios de correo electrónico. Los proveedores de servicios están buscando ganarle dinero a las provisiones más finas y pequeñas posibles, por lo que realmente no les dan ninguna duda de que sus servicios sean totalmente compatibles. Eso, o el cliente / proveedor nunca ha oído hablar de búsqueda inversa y no puede molestarse en arreglar su zona DNS (o en algunos casos, ni siquiera controlan su DNS, que es un tema para otro día). Esto es realmente una solución simple, solo necesitan crear un registro de búsqueda inversa que coincida con la dirección IP de conexión. No importa que el nombre de host o el nombre de dominio del servidor no coincidan con el dominio del remitente, solo importa que la búsqueda del servidor complete un "viaje de ida y vuelta" desde IP-> nombre-> IP.

No tengo todo el día para perseguir a todos y hacer una llamada telefónica, y francamente a algunos de ellos no les agradará ser molestados por teléfono. Pero el número de servidores rotos por ahí es asombroso, y no pasa un mes sin que la "lista especial de omisión de búsqueda inversa de excepción" crezca con algunas nuevas direcciones IP.

Así que la pregunta es ¿Cuál es la mejor manera de notificar a los remitentes legítimos que su correo electrónico está básicamente dañado y necesita ser reparado, sin eliminarlos por completo?? ¿Hay alguna forma de notificarlos automáticamente, para que obtengan la información que necesitan en lugar del mensaje de rechazo insensible que nunca se molestarán en leer? (Garantizo que el 99% de los clientes y proveedores no son técnicos y simplemente lo ven como "bueno, es tu servidor de correo electrónico que está roto ")


Después de una discusión más en el chat, volví a revisar el archivo de configuración en uso, y creo que he encontrado una parte de mi dolor. Se está utilizando la siguiente opción:

http://www.postfix.org/postconf.5.html#reject_unknown_client_hostname

De acuerdo con esa página, esta opción tiene requisitos estrictos, por lo que supongo que como resultado, causa algunos falsos positivos.


7
2018-06-21 17:52


origen


Aquí hay una fuente no autorizada para aquellos que tienen preguntas sobre este proceso: en.wikipedia.org/wiki/Forward-confirmed_reverse_DNS - Avery Payne
Cualquier persona que nunca haya oído hablar de búsqueda inversa no debería estar operando su propio servidor de correo, también debería subcontratar eso. - Barmar
Hay más en la publicación, es decir, la tuve activada durante varios años pero tuve que apagarla debido a las quejas de los remitentes. Solo a medida que el spam ha aumentado, ha habido suficiente "dolor" para justificar volver a activarlo, y con una lista blanca se puede utilizar, si no es práctico. Por ejemplo, las personas en outlook.com no tienen idea de que están utilizando un servicio no compatible. Para el caso, muchos servicios subcontratados no son compatibles. No lleva mucho más allá de un registro MX correcto + ptr reverso, pero todavía no lo he visto. - Avery Payne
Acabo de enviar un mensaje de prueba de outlook.com. El IP era 65.55.34.82 y tiene un rDNS válido. - Barmar
Desafortunadamente, ese no es el caso del que estaba hablando. El envío de correo directamente desde outlook.com no es el problema, las personas que intentan pasar los servidores de correo de outlook.com como sus propios servidores de correo al darles nombres falsos es el problema. - Avery Payne


Respuestas:


exim puede detectar la presencia del registro A y la ausencia del registro PTR con ACL y luego se puede realizar cualquier acción a través de enrutadores. $sender_host_name, $host_lookup_failed y $host_lookup_deferred hacer todo el truco

El problema es que los spammers a menudo utilizan servidores mal configurados pero todavía legales para el envío (los clientes del ISP se dirigen dinámicamente, por ejemplo). Así que la mayoría de las notificaciones serán dirigidas a los spammers.

La forma más fácil de evitar el tráfico inútil es aceptar tales mensajes, compararlos con AV / SA / bayes y enviar notificaciones solo si han pasado el proceso de verificación de DATOS.

En términos de exim eso significa que solo si $sender_host_name no está vacío, $host_lookup_failed = 1 y $spam_score_int Es menor que el umbral, tienes que emitir la notificación. Puede ser que la tolerancia al escaneo de contenido se reduzca significativamente para esos mensajes.

Desafortunadamente no estoy familiarizado con postfix Basta con proponer una solución equivalente.


2
2018-06-21 21:27