Best Practice: Benachrichtigen Sie den E-Mail-Absender, dass die umgekehrte Suche fehlerhaft ist

7

Dies sollte wahrscheinlich ein Wiki sein, nicht ganz sicher. Bevor ich anfange, ist der externe Server, der das Scannen durchführt, eine benutzerdefinierte amavis / postfix / fortigate-Pipeline. Es wird empfohlen, dass alle Änderungen in dieser Umgebung funktionieren.

Ich habe die Reverse-Lookup-Ablehnung für den E-Mail-Server meiner Arbeit aktiviert, um den Zufluss von Spam durch das Management zu verringern. Ja, dies war eine Managementanfrage, bitte keine spitzen Haarwitze. In dieser Hinsicht ist es sehr effektiv und reduziert die Arbeitsbelastung unserer Scanner um den Faktor 2 oder 3. Das Ausschalten ist gleichbedeutend mit professionellem Selbstmord. Bitte schlagen Sie nicht vor, es als Lösung aufzugeben.

Das Problem ist recht einfach: Viele legitime Absender, entweder als Anbieter oder Kunden, lagern ihre E-Mail-Dienste aus oder richten sie nur minimal ein. Die Dienstleister sind bestrebt, die dünnsten und kleinstmöglichen Vorkehrungen zu treffen, damit sie sich nicht wirklich darum bemühen, ihre Dienste vollständig konform zu machen. Das oder der Kunde / Anbieter hat noch nie von Reverse Lookup gehört und kann sich nicht die Mühe machen, seine DNS-Zone zu reparieren (oder in einigen Fällen kontrollieren sie nicht einmal ihr DNS, was ein Thema für einen anderen Tag ist). Dies ist wirklich eine einfache Lösung. Sie müssen lediglich einen Reverse-Lookup-Datensatz erstellen, der mit der IP-Adresse der Verbindung übereinstimmt. Es spielt keine Rolle, dass der Hostname oder der Domänenname des Servers nicht mit der Domäne des Absenders übereinstimmt. Es ist nur wichtig, dass die Suche nach dem Server einen "Roundtrip" durchführt.

Ich habe nicht den ganzen Tag Zeit, um jeden einzelnen zu verfolgen und einen Anruf zu tätigen, und ehrlich gesagt werden einige von ihnen es nicht gut finden, über das Telefon belästigt zu werden. Die Anzahl der defekten Server ist jedoch erstaunlich , und es vergeht kein Monat, in dem die "Umgehungsliste für die Umkehrsuche mit besonderen Ausnahmen" mit einigen neuen IP-Adressen wächst.

Die Frage ist also, wie legitime Absender am besten darüber informiert werden können, dass ihre E-Mail-Adresse im Grunde genommen fehlerhaft ist und repariert werden muss, ohne sie vollständig abzuhaken . Gibt es eine Möglichkeit, sie automatisch zu benachrichtigen, damit sie die benötigten Informationen anstelle der langweiligen Ablehnungsnachricht erhalten, die sie niemals lesen werden? (Ich garantiere, dass 99% der Kunden und Anbieter nicht technisch sind und sehe es einfach als "Nun, es ist Ihr E-Mail-Server, der kaputt ist")

Nach einigen weiteren Diskussionen im Chat ging ich zurück, um die verwendete Konfigurationsdatei zu überprüfen, und ich glaube, ich habe einen Teil meiner Trauer gefunden. Die folgende Option wird verwendet:

http://www.postfix.org/postconf.5.html#reject_unknown_client_hostname

Laut dieser Seite hat diese Option strenge Anforderungen, und daher gehe ich davon aus, dass sie einige Fehlalarme verursacht.

email postfix reverse-dns fortigate Avery Payne
quelle
1
Hier ist eine nicht autorisierende Quelle für diejenigen, die Fragen zu diesem Prozess haben: en.wikipedia.org/wiki/Forward-confirmed_reverse_DNS
Avery Payne
1
Jeder, der noch nie von Reverse Lookup gehört hat, sollte keinen eigenen Mailserver betreiben, sondern diesen auch auslagern.
Barmar
Der Beitrag enthält noch mehr, nämlich, dass ich ihn mehrere Jahre lang aktiviert hatte, ihn jedoch aufgrund von Beschwerden von Absendern deaktivieren musste. Erst als der Spam zugenommen hat, gab es genug "Schmerzen", um das Wiedereinschalten zu rechtfertigen, und mit einer Whitelist ist es brauchbar, wenn nicht sogar praktisch. Beispielsweise haben Personen auf Outlook.com keine Ahnung, dass sie einen nicht konformen Dienst verwenden. Im Übrigen sind viele ausgelagerte Dienste nicht konform. Es dauert nicht viel über eine korrekte MX-Aufnahme + Reverse-PTR hinaus, aber ich habe es noch nicht gesehen.
Avery Payne
Ich habe gerade eine Testnachricht von Outlook.com gesendet. Die IP war 65.55.34.82 und es hat gültige rDNS.
Barmar
Leider ist das nicht der Fall, über den ich gesprochen habe. Das Versenden von E-Mails direkt von Outlook.com ist nicht das Problem. Leute, die versuchen, Outlook.com-Mailserver als ihre eigenen Mailserver auszugeben, indem sie ihnen falsche Namen geben, sind das Problem.
Avery Payne

Antworten:

2

eximkann das Vorhandensein des A-Datensatzes und das Fehlen des PTR-Datensatzes mit ACL erkennen und dann kann jede Aktion über Router ausgeführt werden. $sender_host_name, $host_lookup_failedUnd $host_lookup_deferredall den Trick.

Das Problem ist, dass Spammer häufig solche schlecht konfigurierten, aber immer noch legalen Hosts für die Übermittlung verwenden (z. B. dynamisch adressierte Clients des ISP). Daher werden die meisten Benachrichtigungen an die Spammer gerichtet.

Der einfachste Weg, um nutzlosen Datenverkehr zu vermeiden, besteht darin, solche Nachrichten zu akzeptieren, sie mit AV / SA / Bayes zu vergleichen und nur dann eine Benachrichtigung zu senden, wenn sie die DATA-Prüfung bestanden haben.

Dies bedeutet exim, dass Sie die Benachrichtigung nur dann ausstellen müssen, wenn sie $sender_host_namenicht leer ist, $host_lookup_failed= 1 und $spam_score_intunter dem Schwellenwert liegt. Möglicherweise sollte die Toleranz für das Scannen von Inhalten für diese Nachrichten erheblich verringert werden.

Leider bin ich nicht mit postfixgenug vertraut , um eine gleichwertige Lösung vorzuschlagen.

Kondybas
quelle