为什么?mx记录和ip不吻合为什么能收发邮件?

liuyaming0938

服务器日志  
Mar 25 08:11:00 mail postfix/policyd-weight[5127]: weighted check:  CL_IP_NE_HELO=1.5 RESOLVED_IP_IS_NOT_HELO=1.5 (check from: .icbasia. - helo: .icbasia. - helo-domain: .icbasia.)  MAIL_SEEMS_FORGED=2.5; <client=61.218.146.138> <helo=icbasia.com> <from=****@icbasia.com> <to=****@btl.org.cn>; rate: 5.5
DNS测试
[root@mail ~]# host -t mx icbasia.com
icbasia.com mail is handled by 10 icbasia.com.
[root@mail ~]# host -t a icbasia.com
icbasia.com has address 203.73.136.218

这个邮件发给我的服务器被拒绝,但是****@icbasia.com给sina收发却是正常!到底为什么?

[ 本帖最后由 liuyaming0938 于 2008-3-25 18:09 编辑 ]

liuyaming0938

郁闷好几天了....

liuyaming0938

居然走的DDN专线!还没搞清楚原理!说什么通过一个邮件分发器,哎!高级呀!为什么这些基本的不设置好呢?还是我愚昧....

[ 本帖最后由 liuyaming0938 于 2008-3-26 09:09 编辑 ]

gucuiwen

不是你愚昧，是对方愚昧，我敢肯定对方根本不懂邮件相关的RFC规范，连helo hostname需要fqdn都不知道。这种邮件服务器太多了，所以反垃圾侧率上就要适当宽松一些，或者，你的情况，直接可以把对方IP加入白名单，像这样：

smtpd_recipient_restrictions =
    permit_mynetworks
    reject_unauth_destination
    check_client_access hash:/etc/postfix/ip_black_white_list #黑白名单放在前面
    reject_non_fqdn_helo_hostname
    reject_unknown_helo_hostname
    check_helo_access hash:/etc/postfix/helo_black_white_list
    check_helo_access regexp:/etc/postfix/helo_reject_list
    check_policy_service unix:private/policy  #这条放在后面

把policy delegation 的规则放在最后，这样postfix先检查黑白名单，
如果在白名单里，就不经过下面的过滤规则，直接放行邮件了。

[ 本帖最后由 gucuiwen 于 2008-3-26 11:08 编辑 ]

gucuiwen

对于IP和helohost不项符合的问题，我采用的策略基本和你的差不多，但是适当宽松一些，比如我只校验前两位是否相同，比如对方helo  smtp.xyz.com  查出smtp.xyz.com的A记录或者是MX记录后，比对实际IP地址，比如连接的IP是202.121.22.6查出的A记录或者MX记录是202.121.67.3，前面两个数字符合，我就认为不是垃圾邮件，暂时先放进来，我认为这是对方的邮件服务器管理员不懂邮件RFC规范配置不合理而造成的，但对于完全牛头不对马嘴的IP地址和helo hostname,我直接用4xx代码拒绝。没办法，真正符合规范，根据规范配置的小邮件服务器不多啊，只有大型邮件提供商的邮件服务器对规范的遵循度最高，尤其是163的邮箱，绝对规范，而且对不规范的服务器的容忍度又非常高，技术上实现得真不错。值得学习。

举一个很常见的例子，有些垃圾邮件发送者习惯用helo 163.com来进行SMTP交互，一看就是假的，163.com从来不会用这种helo hostname来和你交谈，我就直接把这些邮件拒绝掉，网易发过来的邮件都是helo m13-58.163.com 这样的域名，而且A记录和PTR记录完全吻合。非常符合规范。等有空了我把这些反垃圾邮件经验总结一下。

sosogh

rfc是否有规定

helo name <-------> ip

正向，反向都要关联？

gucuiwen

原帖由 sosogh 于 2008-3-26 23:46 发表
rfc是否有规定

helo name  ip

正向，反向都要关联？

这个没有规定，但是helo 后面的主机名必须是FQDN,(full quanlified domain name)

比如有的邮件服务器，他的域名是domain.com，在SMTP交互过程中回应helo domain.com其实是不符合规范的，
应该回应helo smtp.domain.com 。 就是这台主机的具体域名，而不是其所在的域。

[ 本帖最后由 gucuiwen 于 2008-3-27 10:17 编辑 ]

gucuiwen

还有邮件头（header）内容，邮件体（body）内容等等，都有具体的规范，但很多邮件服务器发出的邮件都不符合规范，垃圾邮件发送者发的是最不符合规范的， 但有些非垃圾邮件服务器，由于管理员缺少对规范的了解，配置的也不十分规范。根据我对国内各大邮件提供商邮件的观察，网易在这方面做的是最到位的。有些配置可以参考他们的做法。

liuyaming0938

原帖由 gucuiwen 于 2008-3-26 11:07 发表
不是你愚昧，是对方愚昧，我敢肯定对方根本不懂邮件相关的RFC规范，连helo hostname需要fqdn都不知道。这种邮件服务器太多了，所以反垃圾侧率上就要适当宽松一些，或者，你的情况，直接可以把对方IP加入白名单， ...

多谢指教!!!