免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
12下一页
最近访问板块 发新帖
查看: 7042 | 回复: 11
打印 上一主题 下一主题

[Mail] 为什么?mx记录和ip不吻合为什么能收发邮件? [复制链接]

论坛徽章:
0
跳转到指定楼层
1 [收藏(0)] [报告]
发表于 2008-03-25 18:07 |只看该作者 |倒序浏览
服务器日志  
Mar 25 08:11:00 mail postfix/policyd-weight[5127]: weighted check:  CL_IP_NE_HELO=1.5 RESOLVED_IP_IS_NOT_HELO=1.5 (check from: .icbasia. - helo: .icbasia. - helo-domain: .icbasia.)  MAIL_SEEMS_FORGED=2.5; <client=61.218.146.138> <helo=icbasia.com> <from=****@icbasia.com> <to=****@btl.org.cn>; rate: 5.5
DNS测试
[root@mail ~]# host -t mx icbasia.com
icbasia.com mail is handled by 10 icbasia.com.
[root@mail ~]# host -t a icbasia.com
icbasia.com has address 203.73.136.218


这个邮件发给我的服务器被拒绝,但是****@icbasia.com给sina收发却是正常!到底为什么?

[ 本帖最后由 liuyaming0938 于 2008-3-25 18:09 编辑 ]

论坛徽章:
0
2 [报告]
发表于 2008-03-26 08:22 |只看该作者
郁闷好几天了....

论坛徽章:
0
3 [报告]
发表于 2008-03-26 08:41 |只看该作者
居然走的DDN专线!还没搞清楚原理!说什么通过一个邮件分发器,哎!高级呀!为什么这些基本的不设置好呢?还是我愚昧....

[ 本帖最后由 liuyaming0938 于 2008-3-26 09:09 编辑 ]

论坛徽章:
0
4 [报告]
发表于 2008-03-26 11:07 |只看该作者
不是你愚昧,是对方愚昧,我敢肯定对方根本不懂邮件相关的RFC规范,连helo hostname需要fqdn都不知道。这种邮件服务器太多了,所以反垃圾侧率上就要适当宽松一些,或者,你的情况,直接可以把对方IP加入白名单,像这样:

smtpd_recipient_restrictions =
    permit_mynetworks
    reject_unauth_destination
    check_client_access hash:/etc/postfix/ip_black_white_list #黑白名单放在前面
    reject_non_fqdn_helo_hostname
    reject_unknown_helo_hostname
    check_helo_access hash:/etc/postfix/helo_black_white_list
    check_helo_access regexp:/etc/postfix/helo_reject_list
    check_policy_service unix:private/policy  #这条放在后面

把policy delegation 的规则放在最后,这样postfix先检查黑白名单,
如果在白名单里,就不经过下面的过滤规则,直接放行邮件了。

[ 本帖最后由 gucuiwen 于 2008-3-26 11:08 编辑 ]

论坛徽章:
0
5 [报告]
发表于 2008-03-26 11:24 |只看该作者
对于IP和helohost不项符合的问题,我采用的策略基本和你的差不多,但是适当宽松一些,比如我只校验前两位是否相同,比如对方helo  smtp.xyz.com  查出smtp.xyz.com的A记录或者是MX记录后,比对实际IP地址,比如连接的IP是202.121.22.6查出的A记录或者MX记录是202.121.67.3,前面两个数字符合,我就认为不是垃圾邮件,暂时先放进来,我认为这是对方的邮件服务器管理员不懂邮件RFC规范配置不合理而造成的,但对于完全牛头不对马嘴的IP地址和helo hostname,我直接用4xx代码拒绝。没办法,真正符合规范,根据规范配置的小邮件服务器不多啊,只有大型邮件提供商的邮件服务器对规范的遵循度最高,尤其是163的邮箱,绝对规范,而且对不规范的服务器的容忍度又非常高,技术上实现得真不错。值得学习。

举一个很常见的例子,有些垃圾邮件发送者习惯用helo 163.com来进行SMTP交互,一看就是假的,163.com从来不会用这种helo hostname来和你交谈,我就直接把这些邮件拒绝掉,网易发过来的邮件都是helo m13-58.163.com 这样的域名,而且A记录和PTR记录完全吻合。非常符合规范。等有空了我把这些反垃圾邮件经验总结一下。

论坛徽章:
0
6 [报告]
发表于 2008-03-26 23:46 |只看该作者
rfc是否有规定

helo name <-------> ip

正向,反向都要关联?

论坛徽章:
0
7 [报告]
发表于 2008-03-27 10:13 |只看该作者
原帖由 sosogh 于 2008-3-26 23:46 发表
rfc是否有规定

helo name  ip

正向,反向都要关联?


这个没有规定,但是helo 后面的主机名必须是FQDN,(full quanlified domain name)

比如有的邮件服务器,他的域名是domain.com,在SMTP交互过程中回应helo domain.com其实是不符合规范的,
应该回应helo smtp.domain.com 。 就是这台主机的具体域名,而不是其所在的域。

[ 本帖最后由 gucuiwen 于 2008-3-27 10:17 编辑 ]

论坛徽章:
0
8 [报告]
发表于 2008-03-27 10:20 |只看该作者
还有邮件头(header)内容,邮件体(body)内容等等,都有具体的规范,但很多邮件服务器发出的邮件都不符合规范,垃圾邮件发送者发的是最不符合规范的, 但有些非垃圾邮件服务器,由于管理员缺少对规范的了解,配置的也不十分规范。根据我对国内各大邮件提供商邮件的观察,网易在这方面做的是最到位的。有些配置可以参考他们的做法。

论坛徽章:
0
9 [报告]
发表于 2008-03-27 14:18 |只看该作者
原帖由 gucuiwen 于 2008-3-26 11:07 发表
不是你愚昧,是对方愚昧,我敢肯定对方根本不懂邮件相关的RFC规范,连helo hostname需要fqdn都不知道。这种邮件服务器太多了,所以反垃圾侧率上就要适当宽松一些,或者,你的情况,直接可以把对方IP加入白名单, ...

多谢指教!!!
hailang1000 该用户已被删除
10 [报告]
发表于 2010-05-12 09:36 |只看该作者
提示: 作者被禁止或删除 内容自动屏蔽
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP