為什么?mx記錄和ip不吻合為什么能收發(fā)郵件?

liuyaming0938

服務器日志  
Mar 25 08:11:00 mail postfix/policyd-weight[5127]: weighted check:  CL_IP_NE_HELO=1.5 RESOLVED_IP_IS_NOT_HELO=1.5 (check from: .icbasia. - helo: .icbasia. - helo-domain: .icbasia.)  MAIL_SEEMS_FORGED=2.5; <client=61.218.146.138> <helo=icbasia.com> <from=****@icbasia.com> <to=****@btl.org.cn>; rate: 5.5
DNS測試
[root@mail ~]# host -t mx icbasia.com
icbasia.com mail is handled by 10 icbasia.com.
[root@mail ~]# host -t a icbasia.com
icbasia.com has address 203.73.136.218

這個郵件發(fā)給我的服務器被拒絕,但是****@icbasia.com給sina收發(fā)卻是正常!到底為什么?

[ 本帖最后由 liuyaming0938 于 2008-3-25 18:09 編輯 ]

liuyaming0938

郁悶好幾天了....

liuyaming0938

居然走的DDN專線!還沒搞清楚原理!說什么通過一個郵件分發(fā)器,哎!高級呀!為什么這些基本的不設置好呢?還是我愚昧....

[ 本帖最后由 liuyaming0938 于 2008-3-26 09:09 編輯 ]

gucuiwen

不是你愚昧，是對方愚昧，我敢肯定對方根本不懂郵件相關的RFC規(guī)范，連helo hostname需要fqdn都不知道。這種郵件服務器太多了，所以反垃圾側(cè)率上就要適當寬松一些，或者，你的情況，直接可以把對方IP加入白名單，像這樣：

smtpd_recipient_restrictions =
    permit_mynetworks
    reject_unauth_destination
    check_client_access hash:/etc/postfix/ip_black_white_list #黑白名單放在前面
    reject_non_fqdn_helo_hostname
    reject_unknown_helo_hostname
    check_helo_access hash:/etc/postfix/helo_black_white_list
    check_helo_access regexp:/etc/postfix/helo_reject_list
    check_policy_service unix:private/policy  #這條放在后面

把policy delegation 的規(guī)則放在最后，這樣postfix先檢查黑白名單，
如果在白名單里，就不經(jīng)過下面的過濾規(guī)則，直接放行郵件了。

[ 本帖最后由 gucuiwen 于 2008-3-26 11:08 編輯 ]

gucuiwen

對于IP和helohost不項符合的問題，我采用的策略基本和你的差不多，但是適當寬松一些，比如我只校驗前兩位是否相同，比如對方helo  smtp.xyz.com  查出smtp.xyz.com的A記錄或者是MX記錄后，比對實際IP地址，比如連接的IP是202.121.22.6查出的A記錄或者MX記錄是202.121.67.3，前面兩個數(shù)字符合，我就認為不是垃圾郵件，暫時先放進來，我認為這是對方的郵件服務器管理員不懂郵件RFC規(guī)范配置不合理而造成的，但對于完全牛頭不對馬嘴的IP地址和helo hostname,我直接用4xx代碼拒絕。沒辦法，真正符合規(guī)范，根據(jù)規(guī)范配置的小郵件服務器不多啊，只有大型郵件提供商的郵件服務器對規(guī)范的遵循度最高，尤其是163的郵箱，絕對規(guī)范，而且對不規(guī)范的服務器的容忍度又非常高，技術上實現(xiàn)得真不錯。值得學習。

舉一個很常見的例子，有些垃圾郵件發(fā)送者習慣用helo 163.com來進行SMTP交互，一看就是假的，163.com從來不會用這種helo hostname來和你交談，我就直接把這些郵件拒絕掉，網(wǎng)易發(fā)過來的郵件都是helo m13-58.163.com 這樣的域名，而且A記錄和PTR記錄完全吻合。非常符合規(guī)范。等有空了我把這些反垃圾郵件經(jīng)驗總結(jié)一下。

sosogh

rfc是否有規(guī)定

helo name <-------> ip

正向，反向都要關聯(lián)？

gucuiwen

原帖由 sosogh 于 2008-3-26 23:46 發(fā)表
rfc是否有規(guī)定

helo name  ip

正向，反向都要關聯(lián)？

這個沒有規(guī)定，但是helo 后面的主機名必須是FQDN,(full quanlified domain name)

比如有的郵件服務器，他的域名是domain.com，在SMTP交互過程中回應helo domain.com其實是不符合規(guī)范的，
應該回應helo smtp.domain.com 。 就是這臺主機的具體域名，而不是其所在的域。

[ 本帖最后由 gucuiwen 于 2008-3-27 10:17 編輯 ]

gucuiwen

還有郵件頭（header）內(nèi)容，郵件體（body）內(nèi)容等等，都有具體的規(guī)范，但很多郵件服務器發(fā)出的郵件都不符合規(guī)范，垃圾郵件發(fā)送者發(fā)的是最不符合規(guī)范的， 但有些非垃圾郵件服務器，由于管理員缺少對規(guī)范的了解，配置的也不十分規(guī)范。根據(jù)我對國內(nèi)各大郵件提供商郵件的觀察，網(wǎng)易在這方面做的是最到位的。有些配置可以參考他們的做法。

liuyaming0938

原帖由 gucuiwen 于 2008-3-26 11:07 發(fā)表
不是你愚昧，是對方愚昧，我敢肯定對方根本不懂郵件相關的RFC規(guī)范，連helo hostname需要fqdn都不知道。這種郵件服務器太多了，所以反垃圾側(cè)率上就要適當寬松一些，或者，你的情況，直接可以把對方IP加入白名單， ...

多謝指教!!!