20 votos

Es una buena práctica o demasiado draconianas para rechazar correos de mailservers sin RDNS

Recientemente he caído SpamAssassin y ahora estoy basando spam rechazo en DNSRBL, lista gris y otras pruebas básicas y me pregunto si yo también debería bloquear equipos que no tienen una validez RDNS la coincidencia de la EHLO?

Si hago esto, voy a hacer problema por mucho el correo legítimo y molestar a mis clientes? He oído a la gente que se queja de que AOL hacer esto, que me hace pensar que es tal vez demasiado raro para mí.

También me pregunto si me pueden comprometer mediante la comprobación de que RDN es establecer, al menos, a algo, pero no tratar de coincidir con el EHLO. Es esto posible con Postfix (y útil)?

12voto

Chris S Puntos 65813

Es muy común para bloquear los servidores SMTP que no tienen estos conceptos básicos:

  1. Nombre de host en HELO adelante se resuelve a la IP de la conexión de origen de la misma.
  2. Conexiones de origen IP se invierte para el nombre de host reivindicada en HELO.
  3. Si SPF, DKIM, o DMARC políticas existen, verificar.

Nadie se queja acerca de la introducción de bloqueado a causa de uno de estos debe estar lleno de brea y plumas.
Las personas que terminan siendo bloqueado por otros motivos, en particular, a situaciones que se basan en el RFC de conformidad en lo "anormal" de las situaciones, voy a tener simpatía por. El Spam es un problema que ya no hay excusa para faltar a los conceptos básicos, aunque.

11voto

Ed. Puntos 343

He probado con varios enfoques con el HELO/EHLO la comprobación con un bastante decente tamaño de la base de clientes de entre 100k-200k de los usuarios y acabé con una solución que hace lo siguiente:

  • Compruebe que el HELO/EHLO contiene un nombre de dominio. - Esto sobre todo se reduce a ¿el nombre no tiene un punto en ella. La comprobación de los DNS en el nombre condujo a MUCHOS no los servidores ya que no es raro tener el servidor de presentar un interno de nombre o algo que usted no puede resolver correctamente.
  • Comprobar que la IP tiene un registro DNS inverso. - Nuevamente, esta es una de lax configuración, ya que no compararlo con el HELO/EHLO. Comprobación contra el HELO/EHLO creado tantas entradas de esta configuración no dura ni un solo día.
  • Compruebe los remitentes nombre de dominio es válido. -- Esta es una comprobación básica para asegurarse de que si tenemos que rebote el mensaje no existe, al menos, alguna manera de encontrar un servidor.

Aquí está el Postfix bloque utilizamos para estas comprobaciones:

smtpd_recipient_restrictions =
    reject_non_fqdn_sender,
    reject_unauth_destination,
    reject_unknown_reverse_client_hostname,
    reject_invalid_helo_hostname,
    reject_non_fqdn_helo_hostname,
    reject_unknown_sender_domain,
    reject_non_fqdn_recipient

5voto

dusan.bajic Puntos 1583

Yo esperaría que el MTA de envío tener válidos RDNS, pero insistiendo en la coincidencia de EHLO dependería de que 'a los clientes". Usted puede encontrar algunos interesantes pautas en RFC5321:

2.3.5.

(...) El nombre de dominio dado en el comando EHLO DEBE ser una primaria nombre de host (nombre de dominio que se resuelve en una dirección RR) o, si el host no tiene nombre, una dirección, un literal (...)

4.1.4.

(...) Un servidor SMTP PUEDE comprobar que el nombre de dominio en el argumento de la Comando EHLO en realidad corresponde a la dirección IP del cliente. Sin embargo, si la verificación falla, el servidor NO DEBE negarse a aceptar un mensaje sobre esta base.

pero, a continuación, en 7.9.

Es un principio bien establecido que un servidor SMTP puede negarse a aceptar correo para cualquier operativas o técnicas razón que hace que sentido para el sitio web que proporciona el servidor.(...)

3voto

Kondybas Puntos 2645

Búsqueda inversa no necesariamente apunta a que el nombre de host proporcionado en HELO. A veces varios dominios alojados en el mismo servidor, y todos ellos tienen la misma dirección IP. Pero cuando intenta hacer la búsqueda inversa, usted conseguirá el nombre que se ha colocado en el PTR-registro. Es obvio que tanto los nombres de dominio será diferente y que es completamente aceptable.

La única circunstancia que permiten a gota mensaje de error de búsqueda inversa. Cualquier éxito de búsqueda significa que el host es válido. Los nombres no coinciden.

2voto

ALex_hha Puntos 2633

Me pregunto si yo también debería bloquear equipos que no tienen una validez RDNS la coincidencia de la EHLO?

No, no debería. Los bloques de un conjunto de correo electrónico sólo por uno de los criterios es una mala práctica.

Si hago esto, voy a hacer problema por mucho el correo legítimo y molestar a mis clientes?

más probable que usted hace y pierde el correo legítimo

También me pregunto si me pueden comprometer mediante la comprobación de que RDN es establecer, al menos, a algo, pero no tratar de coincidir con el EHLO. Es esto posible con Postfix (y útil)?

sí, es posible. Usted puede utilizar reject_unknown_reverse_client_hostname en lugar de reject_unknown_client_hostname

Por desgracia, postfix no tiene opciones flexibles para el "complejo de decisión". En exim puede agregar algunos puntos por correos, por ejemplo,

Score = 0 
1. The HELO or EHLO hostname is not in fully-qualified domain or address literal form. Score +=10
2. The HELO or EHLO hostname has no DNS A or MX record. Score +=20
3. The HELO or EHLO hostname is listed with the A record "d.d.d.d" under rbl_domain. Score +=20
4. The sender domain has no DNS A or MX record. Score +=10
5. SPF checks return softfail. Score +=10, fail, Score +=20
...

Y así sucesivamente. Después de que todos los cheques serán completadas y si había Score > 100, usted puede rechazar el correo. En realidad, usted puede conseguir este comportamiento, pero usted tendrá que escribir su propia política de servicio

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: