RDNSのないメールサーバーからのメールを拒否するのは良い習慣ですか、それとも厳しすぎるでしょうか

20

SpamAssassinを最近削除しましたが、現在DNSRBL、グレーリスト、その他の基本的なテストに基づいてスパムを拒否していますが、EHLOに一致する有効なRDNSを持たないホストもブロックする必要があるのでしょうか？

これを行うと、多くの正当なメールで問題が発生し、顧客を混乱させるでしょうか？私は、AOLがこれを行うことを不満に思う人がいることを聞いたことがあります。

また、RDNSが少なくとも何かに設定されていることを確認することで妥協できるかどうか疑問に思っていますが、それをEHLOと一致させようとはしていません。これはPostfixで可能ですか（そして便利ですか）？

— ピーター・スノー
ソース

4

はい、非常に少数の人々が問題を抱えていても、一般的に行われています。参照してください。スパムとの戦い-私は何をすることができます。メール管理者、ドメイン所有者、またはUser？さらなる議論のために。

— マイケルハンプトン

ジョンポステルは同意しません :-)

— マティアスR.ジェッセン

多くの月前、Red Hatのsendmailの新規インストールでの逆引きがデフォルトでした...メールサーバーの正式な標準ではありませんが、rDNSはほぼ事実上の標準であると思います。動的IPアドレス（つまり、消費者グレードのISP接続を備えた家）をめちゃくちゃにしますが、かつては、これらの動的IPの大部分はボットネットでした。

— エイブリーペイン14年

10

私は、HELO / EHLOチェックで複数のアプローチを試みましたが、10万から20万人のユーザーをかなり適切な規模の顧客ベースで使用し、次のことを行うソリューションに行き着きました。

HELO / EHLOにドメイン名が含まれていることを確認してください。-これは主に、名前にドットが含まれることになります。名前でDNSをチェックすると、サーバーが内部名または適切に解決できないものを提示することは珍しくないため、多くのサーバーに障害が発生しました。
IPにリバースDNSレコードがあることを確認してください。-繰り返しますが、これはHELO / EHLOに対してチェックしないため、緩い設定です。HELO / EHLOをチェックすると、非常に多くのチケットが作成され、この設定は1日でも続きませんでした。
送信者のドメイン名が有効であることを確認してください。-これは、メッセージをバウンスする必要があるかどうかを確認するための基本的なチェックであり、少なくともそのサーバーを見つける方法があります。

これらのチェックに使用するPostfixブロックは次のとおりです。

smtpd_recipient_restrictions =
    reject_non_fqdn_sender,
    reject_unauth_destination,
    reject_unknown_reverse_client_hostname,
    reject_invalid_helo_hostname,
    reject_non_fqdn_helo_hostname,
    reject_unknown_sender_domain,
    reject_non_fqdn_recipient

— エド。
ソース

1

また、良好な追加のアプローチは、動的などのISPによって割り当てられたさまざまな名前と一致する正規表現のリストに対してホスト名を確認することであるxxxx.dynamic.yyy.comかを12-34-56-78.dsl.zzz.com。そのようなホストはすべて、受信者のMXに直接ではなく、ISPのリレーを介してメールを送信する必要があります。主にそのようなホストは、ベイトを学習するために使用したボットネットノードとそのメッセージです。

— コンディバス

これは私にとっては解決策のようです。SpamAssassinを実行し、RDNSとのHELOマッチングに失敗したメールを除き、すべてをバイパスさせる方法はありますか？他のメールはこのステップを完全にバイパスし続けます。

— ピータースノー

exim MTAを使用して、この方法で順番に実行しました。送信者のaddr / hostはホワイトリストに対してチェックされます。一致した場合-すぐに受け入れられ、そうでない場合はブラックリストと照合されます。一致した場合-変数フラグが「Gotcha！」を発生メッセージも受け入れられます。メッセージがリストを介して渡された場合-デーモンとして機能するSAに渡されます。十分高い値が返された場合は、フラグ「Gotcha！」発生し、メッセージも受け入れられました。次に、メッセージがルーターに渡されます。

— コンディバス

1

フラグが立てられない場合、メッセージは通常どおり配信されます。それ以外の場合、ブラインドコピーが作成されます。元のメッセージは再び通常どおり配信されますが、BCは、sa-learnをトランスポートとして持つ特別なルーターに渡されます。このようなスキームにより、メールフローを、SAベイを学習する完全にスパムのブランチに分割し、SAベイがチェックした残りを疑うことができます。フラグが立てられたメッセージには、「ジャンク」に分類できる追加のヘッダーもあります

— -Kondybas

メールボックスに対してこれらのルールをチェックしましたが、ドメイン以外のHELOまたは逆引きDNSレコードがないために拒否される電子メールがあります。確かにそれらの数は非常に少ない（40 000通のメールを含むメールボックスのほんの数人の送信者）が、そこには重要なものがある。特に、私がを使用していた場合reject_unknown_reverse_client_hostname、特定の東南アジアの国へのビザ申請の結果を記載したメールは届きませんでした。私は使用しないことをお勧めするreject_invalid_helo_hostnameとreject_unknown_reverse_client_hostname。

— michau

12

これらの基本を持たないSMTPサーバーをブロックすることは非常に一般的です。

HELOフォワードのホスト名は、発信元のIP接続に解決されます。
接続オリジンIPは、HELOで要求されたホスト名に逆戻りします。
SPF、DKIM、またはDMARCポリシーが存在する場合は、確認してください。

これらのいずれかが原因でブロックされることを心配している人は、タールを塗って羽を付ける必要があります。
他の理由でブロックされてしまう人々、特に「異常な」状況でRFC適合に依存している状況では、同情します。スパムは非常に大きな問題であるため、基本を逃した言い訳はありません。

— クリス・S
ソース

2

逆ルックアップされた名前は、HELOとまったく一致する必要はありません。ホストは多くのドメインを操作できますが、逆引きは1つのプライマリ名のみを返します。

— コンディバス

1

もちろん、あなたは何でもできます。あなたのサーバーは511 Your rDNS doesn't match your HELO私のサーバーから取得し、他の多くのサーバーからも取得します。スパムは大きな問題であり、SMTP RFCの設計者が対処する必要はありませんでした。現実的な要件は、RFCとは少し異なります。

— クリスS

MTAが適切に構成されていれば、スパムは問題になりません。私の経験では、（rDNSがOR一致しなかった場合、短いローカル正規表現リストORベイが一致した場合）スパムの99.99％が検出されます。DNSBL、グレーリスト、DKIM、SPFはありません。毎月20万件以上の着信メッセージ。1か月あたり1-2 false-p、10-20 false-n。

— コンディバス

5

MTAに有効なRDNSを送信することを期待しますが、一致するEHLOを主張することは、「顧客」が誰であるかに依存します。RFC5321にいくつかの興味深いガイドラインがあります。

2.3.5。

...

4.1.4。

（...）SMTPサーバーは、EHLOコマンドのドメイン名引数が実際にクライアントのIPアドレスに対応していることを検証する場合があります。ただし、検証が失敗した場合、サーバーはそのベースでメッセージの受け入れを拒否してはなりません。

しかし7.9では。

SMTPサーバーは、サーバーを提供するサイトにとって意味のある運用上または技術上の理由でメールの受け入れを拒否する可能性があるという確立された原則です。（...）

— ドゥサン・バジッチ
ソース

1

EHLOで送信される文字列は、実際にはRFCに準拠していないことが多いため、これはおそらく禁止されています。localhostここでは、完全に正当なメールであっても、内部ホスト名、およびその他の間違ったものが送信されるのを見てきました。

— マイケルハンプトン

3

逆ルックアップは、HELOで提供されるホスト名を必ずしも指すとは限りません。複数のドメインが同じホストでホストされ、それらすべてが同じIPアドレスを持っている場合があります。ただし、逆引きを実行しようとすると、PTRレコードに配置されている名前が取得されます。両方のFQDNが異なることは明らかです-それは完全に受け入れられます。

メッセージをドロップできる唯一の状況は、逆引きの失敗です。成功したルックアップは、ホストが有効であることを意味します。名前は一致しないはずです。

— コンディバス
ソース

1

「両方のFQDNが異なることは明らかです-それは完全に受け入れられます。」いいえ。1つのPTRレコードのみを構成でき、メールサーバーはHELOで1つのホスト名しか通知できません。したがって、両方が一致することは明らかです。

— クリスS

2

EHLOに一致する有効なRDNSを持たないホストもブロックするべきかどうか疑問に思っていますか？

いいえ、すべきではありません。1つの基準でのみメール全体をブロックするのは悪い習慣です。

これを行うと、多くの正当なメールに問題が発生し、顧客を混乱させるでしょうか？

あなたがそうする可能性が高く、正当なメールを失います

また、RDNSが少なくとも何かに設定されていることを確認することで妥協できるかどうか疑問に思っていますが、それをEHLOと一致させようとはしていません。これはPostfixで可能ですか（そして便利ですか）？

はい、可能です。reject_unknown_client_hostnameの代わりにreject_unknown_reverse_client_hostnameを使用できます

残念ながら、postfixには「複雑な決定」のための柔軟なオプションがありません。eximでは、そのようなメールにいくつかのポイントを追加できます。例えば

Score = 0 
1. The HELO or EHLO hostname is not in fully-qualified domain or address literal form. Score +=10
2. The HELO or EHLO hostname has no DNS A or MX record. Score +=20
3. The HELO or EHLO hostname is listed with the A record "d.d.d.d" under rbl_domain. Score +=20
4. The sender domain has no DNS A or MX record. Score +=10
5. SPF checks return softfail. Score +=10, fail, Score +=20
...

等々。すべてのチェックが完了し、スコアが100を超えている場合は、メールを拒否できます。実際には、このような動作を取得できますが、独自のポリシーサービスを作成する必要があります

— ALex_hha
ソース