কোনও আরডিএনএস না থাকা মেল সার্ভারগুলি থেকে মেলগুলি প্রত্যাখ্যান করা কি ভাল অনুশীলন বা খুব কঠোর


20

আমি সম্প্রতি স্প্যামআস্যাসিনকে বাদ দিয়েছি এবং এখন ডিএনএসআরবিএল, ধূসর তালিকাভুক্তি এবং অন্যান্য বেসিক পরীক্ষাগুলিতে স্প্যাম প্রত্যাখ্যানের ভিত্তিতে রয়েছি এবং আমি ভাবছি যে আমিও এমন হোস্টগুলিকে অবরুদ্ধ করব যেগুলির বৈধ আরডিএনএসের সাথে এএইচএলওয়ের সাথে মিল নেই?

যদি আমি এটি করি, আমি কি অনেক বৈধ মেল জন্য সমস্যা তৈরি করতে এবং আমার গ্রাহকদের মন খারাপ করতে যাচ্ছি? আমি এওএল এটি করতে লোকেদের আঁকড়ে ধরতে শুনেছি, যা আমার মনে করে যে এটি করা আমার পক্ষে খুব অস্বাভাবিক।

আমি আরও ভাবছি যে আমি আরডিএনএস অন্তত কোনও কিছুর জন্য সেট করে রেখেছি কিনা তা পরীক্ষা করে আপোস করতে পারি তবে এএইচএলওর সাথে এটি মিলানোর চেষ্টা করব না। পোস্টফিক্স দিয়ে এটি কি সম্ভব (এবং এটি কার্যকর)?


4
হ্যাঁ, এটি খুব সাধারণভাবে সম্পন্ন হয়েছে, এমনকি যদি খুব অল্প সংখ্যক লোকের সাথে সমস্যা থাকে। ফাইটিং স্প্যাম দেখুন - আমি একজন হিসাবে কী করতে পারি: ইমেল প্রশাসক, ডোমেন মালিক বা ব্যবহারকারী? আরও আলোচনার জন্য।
মাইকেল হ্যাম্পটন


অনেক চাঁদ পূর্বে, রেড হ্যাটতে প্রেরণমেলের নতুন ইনস্টলটির বিপরীত অনুসন্ধানটি ডিফল্ট ছিল ... আমি মনে করি rDNS, যদিও মেল সার্ভারগুলির জন্য একটি আনুষ্ঠানিক মান নয়, এটি ডিফাক্টোর মান অনেক বেশি। এটি ডায়নামিক আইপি অ্যাড্রেসগুলিতে লোকেরা নিয়ে স্ক্রু দেয় (যেমন গ্রাহক গ্রেড আইএসপি কনফারেন্সযুক্ত বাড়িগুলি) তবে এটি একসময় ব্যবহৃত হত যে সংযোগগুলি সহ সেইসব গতিশীল আইপি হ'ল বোটনেট ... আজকাল সম্পর্কে খুব বেশি।
অ্যাভেরি

উত্তর:


10

আমি 100K-200k ব্যবহারকারীদের মধ্যে মোটামুটি শালীন আকারের গ্রাহক বেসের সাথে HELO / EHLO চেকিংয়ের সাথে একাধিক পদ্ধতির চেষ্টা করেছি এবং নিম্নলিখিতটি সমাধান করে শেষ করেছি:

  • HELO / EHLO এ একটি ডোমেন নাম রয়েছে কিনা তা পরীক্ষা করুন। - এটিতে নামটির মধ্যে একটি বিন্দু থাকতে বেশিরভাগ ক্ষেত্রেই এটি ফুটে যায়। নামের উপর ডিএনএস চেক করার ফলে অনেকগুলি সার্ভার ব্যর্থ হয়েছিল কারণ সার্ভারটির কোনও অভ্যন্তরীণ নাম বা আপনি সঠিকভাবে সমাধান করতে পারবেন না এমন কোনও বিষয় উপস্থাপন করা অস্বাভাবিক নয়।
  • আইপিটির বিপরীত ডিএনএস রেকর্ড রয়েছে তা পরীক্ষা করুন। - আবার এটি একটি শিথিল সেটিং কারণ আমরা এটি HELO / EHLO এর বিরুদ্ধে পরীক্ষা করি না against HELO / EHLO এর বিরুদ্ধে চেক করা এতগুলি টিকিট তৈরি করেছে যা এই সেটিংটি একদিনও স্থায়ী হয়নি।
  • প্রেরকদের ডোমেন নামটি বৈধ কিনা তা পরীক্ষা করে দেখুন। - এটি নিশ্চিত করার জন্য এটি একটি মৌলিক চেক যা আমাদের যদি বার্তাটি বাউন করতে হয় তবে এটির জন্য কোনও সার্ভার সন্ধান করার জন্য অন্ততপক্ষে কোনও উপায় থাকবে।

এই চেকগুলির জন্য আমরা পোস্টফিক্স ব্লকটি ব্যবহার করি:

smtpd_recipient_restrictions =
    reject_non_fqdn_sender,
    reject_unauth_destination,
    reject_unknown_reverse_client_hostname,
    reject_invalid_helo_hostname,
    reject_non_fqdn_helo_hostname,
    reject_unknown_sender_domain,
    reject_non_fqdn_recipient

1
এছাড়াও ভাল অতিরিক্ত পদ্ধতির regexes তালিকা পরিবর্তনশীলরূপে মত ISP দ্বারা নির্ধারিত বিভিন্ন নাম সাথে মেলায় বিরুদ্ধে হোস্টনাম চেক করা হল xxxx.dynamic.yyy.comবা 12-34-56-78.dsl.zzz.com। এই জাতীয় সমস্ত হোস্টকে তাদের মেইল ​​আইএসপি-র রিলে মাধ্যমে প্রেরণ করা উচিত সরাসরি প্রাপকের এমএক্স-তে না। মূলত এ জাতীয় হোস্টগুলি হ'ল বোটনেট নোড এবং তাদের বার্তা আমি আমার বেইস শিখতে ব্যবহার করেছি।
Kondybas

দেখে মনে হচ্ছে এটি আমার জন্য সমাধান হতে পারে। আরডিএনএসের সাথে হেলো ম্যাচগুলি ব্যর্থ হওয়া মেলগুলি ব্যতীত স্প্যামএস্যাসিন চালানোর এবং এটি সকলের দ্বারা অতিক্রম করার কোনও উপায় আছে কি তবে আমরা কেবলমাত্র নির্দিষ্ট স্কোরের উপরের বাউন্সকেই বাউন্স করব? অন্যান্য মেলগুলি এই পদক্ষেপটি পুরোপুরি বাই-পাস করে চলেছে।
পিটার তুষার

এক্সিম এমটিএ দিয়ে আমি সেভাবে করেছি, ধারাবাহিকভাবে: প্রেরকের সংযোজনকারী / হোস্টটি সাদা তালিকার বিরুদ্ধে পরীক্ষা করা হয়। যদি মিলে যায় - তাত্ক্ষণিকভাবে গৃহীত হয়, অন্যথায় কালো তালিকার বিরুদ্ধে পরীক্ষা করা হয়। যদি মিলে যায় - পরিবর্তনশীল পতাকাটি "গোটা!" এবং বার্তা গ্রহণ করা হয়। যদি বার্তাগুলি তালিকাগুলির মধ্য দিয়ে চলে যায় - এটি ডিএমন হিসাবে কাজ করে এমন এসএকে দেওয়া হয়। যদি মানটি যথেষ্ট পরিমাণে ফিরে আসে তবে পতাকা "গোটচা!" উত্থাপিত এবং বার্তা গ্রহণ। তারপরে রাউটারগুলিতে বার্তা পৌঁছে গেল।
কনডিবাস

1
পতাকা না তোলা হলে বার্তা যথারীতি সরবরাহ করা হয়। অন্যথায় অন্ধ অনুলিপি তৈরি করা হয়। আসল বার্তাটি যথারীতি আবার বিতরণ করা হয়, যখন বিসি ট্রান্সপোর্ট হিসাবে সা-লার্নের বিশেষ রাউটারে পৌঁছে দেওয়া হয়। এই জাতীয় স্কিমটি মেলফ্লোটিকে স্পষ্টভাবে স্প্যাম শাখায় বিভক্ত করতে দেয় যা এসএ-বেয়েস শিখতে পারে এবং এসএ-বেয়েস দ্বারা পরীক্ষা করা বাকিটি সন্দেহজনক। পতাকা উত্থাপিত বার্তাগুলিতে একটি অতিরিক্ত শিরোনাম রয়েছে যা এগুলি "জাঙ্ক"
সাজিয়ে রাখে

আমি আমার মেলবক্সের বিপরীতে এই নিয়মগুলি পরীক্ষা করে দেখেছি এবং এমন ইমেলগুলি রয়েছে যা ডোমেন না হেলো বা বিপরীত ডিএনএস রেকর্ডের অভাবে প্রত্যাখ্যান করা হত। সেখানে স্বীকৃতভাবে খুব অল্প সংখ্যকই রয়েছেন (40,000 ইমেল সহ একটি মেলবক্সে কেবলমাত্র কয়েকজন প্রেরক), তবে সেখানে গুরুত্বপূর্ণ জিনিস রয়েছে। বিশেষত, যদি আমি ব্যবহার করে থাকি তবে reject_unknown_reverse_client_hostnameএকটি বিশেষ দক্ষিণপূর্ব এশীয় দেশে আমার ভিসার আবেদনের ফলাফল সহ একটি ইমেল আসতে পারত না। আমি ব্যবহার বিরুদ্ধে পরামর্শ চাই reject_invalid_helo_hostnameএবং reject_unknown_reverse_client_hostname
মিচাউ

12

এসএমটিপি সার্ভারগুলির ব্লক করা অত্যন্ত সাধারণ যেগুলির এই বেসিকগুলি নেই:

  1. HELO ফরোয়ার্ডে হোস্টনাম থেকে উদ্ভূত আইপি সংযোগে সমাধান হয়।
  2. সংযোগগুলির উত্সের আইপি HELO- তে দাবি করা হোস্টনামে বিপরীত।
  3. যদি এসপিএফ, ডিকেআইএম, বা ডিএমআরসি নীতিগুলি উপস্থিত থাকে তবে যাচাই করুন।

এর মধ্যে যে কোনও একটির কারণে অবরুদ্ধ হওয়া সম্পর্কে যে কুঁকড়ে যায় তাকে ট্যারেড এবং পালকযুক্ত করা উচিত।
যে সমস্ত লোক অন্যান্য কারণে অবরুদ্ধ হয়ে পড়ে, বিশেষত এমন পরিস্থিতিতে যেগুলি "অস্বাভাবিক" পরিস্থিতিতে আরএফসি কনফারেন্সের উপর নির্ভর করে, তাদের প্রতি আমার সহানুভূতি থাকবে। স্প্যাম এমন একটি সমস্যা যে যদিও বেসিকগুলি মিস করার জন্য কেবল কোনও অজুহাত নেই।


2
বিপরীত অনুসন্ধানের নামটি মোটেও HELO- র সাথে মেলে না। বিপরীত লুকোচুরি কেবল একটি প্রাথমিক নাম ফেরত দিলে হোস্ট প্রচুর ডোমেন পরিচালনা করতে পারে।
Kondybas

1
অবশ্যই, আপনি যা চান তা করতে পারেন। আপনার সেভর 511 Your rDNS doesn't match your HELOআমার সার্ভারগুলি থেকে এবং অন্যদেরও পুরোপুরি পেয়ে যাবে। স্প্যাম একটি বড় সমস্যা, এটি এসএমটিপি আরএফসি-র ডিজাইনারদের মোকাবেলা করতে হয়নি। বাস্তবসম্মত প্রয়োজনীয়তা অল্প কিছু উপায়ে আরএফসি থেকে পৃথক পৃথক।
ক্রিস এস

এমটিএ সঠিকভাবে কনফিগার করা থাকলে স্প্যাম কোনও সমস্যা হয় না। আমার অভিজ্ঞতা দেখায় যে (ব্যর্থ আরডিএনএস ORসংক্ষিপ্ত স্থানীয় রেজেক্স-তালিকার ORবেয়েসের সাথে মিলছে) স্প্যামের 99.99% সনাক্ত করে। কোনও ডিএনএসবিএল নেই, গ্রিলিস্ট নেই, কোনও ডিকেআইএম নেই, এসপিএফ নেই। 200k + ইনকামিং বার্তাগুলি মাসিক। 1-2 মিথ্যা-পি, প্রতি মাসে 10-20 মিথ্যা-এন
কনডিবাস

5

আমি প্রত্যাশা করব যে এমটিএ পাঠানোর বৈধ আরডিএনএস আছে তবে ইএইচএলওয়ের সাথে ম্যাচিংয়ের উপর জোর দেওয়া 'গ্রাহকরা' কে তার উপর নির্ভর করবে। আপনি আরএফসি5321 তে কিছু আকর্ষণীয় নির্দেশিকা খুঁজে পেতে পারেন :

2.3.5।

...

4.1.4।

(...) একটি এসএমটিপি সার্ভার মেই যাচাই করতে পারে যে EHLO কমান্ডের ডোমেন নাম যুক্তিটি ক্লায়েন্টের আইপি ঠিকানার সাথে সামঞ্জস্য করে। তবে, যাচাইকরণ ব্যর্থ হলে, সার্ভারটি সেই ভিত্তিতে কোনও বার্তা গ্রহণ করতে অস্বীকার করা উচিত।

কিন্তু তারপর 7.9 এ।

এটি একটি সুপ্রতিষ্ঠিত নীতি যে কোনও এসএমটিপি সার্ভার কোনও অপারেশনাল বা প্রযুক্তিগত কারণে মেল গ্রহণ করতে অস্বীকার করতে পারে যা সার্ভার সরবরাহকারীর সাইটটিকে উপলব্ধি করে। (...)


1
এটি সম্ভবত নিষিদ্ধ করা হয়েছে কারণ EHLO এর সাথে প্রেরিত স্ট্রিংটি বাস্তব বিশ্বে প্রায়শই আরএফসি-অনুগত হয় না। আমি অভ্যন্তরীণ হোস্টনাম localhostএবং আরও অনেক ভুল জিনিস এখানে প্রেরণ করেছি এমনকি পুরোপুরি বৈধ মেল সহ।
মাইকেল হ্যাম্পটন

3

বিপরীত লুকোচুরি HELO এ দেওয়া হোস্টনেমকে অগত্যা নির্দেশ করে না। কখনও কখনও একাধিক ডোমেন একই হোস্টে হোস্ট করা হয় এবং তাদের সকলের একই আইপি ঠিকানা থাকে। তবে আপনি যখন বিপরীত অনুসন্ধান করার চেষ্টা করবেন, আপনি নামটি পাবেন যা পিটিআর-রেকর্ডে রাখা হয়েছে। এটি উভয়ই এফকিউডিএন আলাদা হবে - এবং এটি সম্পূর্ণ গ্রহণযোগ্য।

বার্তাটি ছাড়ার অনুমতি দেয় এমন একমাত্র পরিস্থিতি হ'ল বিপরীত চেহারা। যে কোনও সফল অনুসন্ধানের অর্থ হোস্টটি বৈধ। নামগুলি মিলবে না।


1
"এটি স্পষ্ট যে উভয়ই এফকিউডিএন আলাদা হবে - এবং এটি সম্পূর্ণ গ্রহণযোগ্য ble" না, আপনি কেবল একটি পিটিআর রেকর্ড কনফিগার করতে পারেন এবং আপনার মেল সার্ভারটি কেবলমাত্র HELO এ একটি হোস্টনাম ঘোষণা করতে পারে। সুতরাং এটি উভয়ই মেলাতে পারে তা স্পষ্ট হওয়া উচিত।
ক্রিস এস

2

আমি ভাবছি যে আমারও এমন হোস্টগুলি ব্লক করা উচিত যাগুলির সাথে EHLO এর সাথে বৈধ আরডিএনএস নেই?

না, আপনার করা উচিত নয়। কেবলমাত্র একটি মানদণ্ডের দ্বারা একটি সম্পূর্ণ ইমেল ব্লক করে দেওয়া এটি একটি খারাপ অভ্যাস।

যদি আমি এটি করি, আমি কি অনেক বৈধ মেল জন্য সমস্যা তৈরি করতে এবং আমার গ্রাহকদের মন খারাপ করতে যাচ্ছি?

সম্ভবত আপনি যা করতে পারেন এবং বৈধ মেলটি হারাবেন

আমি আরও ভাবছি যে আমি আরডিএনএস অন্তত কোনও কিছুর জন্য সেট করে রেখেছি কিনা তা পরীক্ষা করে আপোস করতে পারি তবে এএইচএলওর সাথে এটি মিলানোর চেষ্টা করব না। পোস্টফিক্স দিয়ে এটি কি সম্ভব (এবং এটি কার্যকর)?

হ্যাঁ, এটা সম্ভব আপনি অস্বীকার_অজ্ঞাত_প্রযুক্ত_পরিচয়_হোস্টনামের পরিবর্তে অস্বীকার_আজ্ঞাত_প্রিয়_সাম্পস_হস্তাম ব্যবহার করতে পারেন

দুর্ভাগ্যক্রমে, পোস্টফিক্সের "জটিল সিদ্ধান্ত" এর জন্য নমনীয় বিকল্প নেই। এক্সিম আপনি যেমন মেল জন্য কিছু পয়েন্ট যোগ করতে পারেন, উদাহরণস্বরূপ

Score = 0 
1. The HELO or EHLO hostname is not in fully-qualified domain or address literal form. Score +=10
2. The HELO or EHLO hostname has no DNS A or MX record. Score +=20
3. The HELO or EHLO hostname is listed with the A record "d.d.d.d" under rbl_domain. Score +=20
4. The sender domain has no DNS A or MX record. Score +=10
5. SPF checks return softfail. Score +=10, fail, Score +=20
...

ইত্যাদি। সমস্ত চেক সম্পন্ন হওয়ার পরে এবং আপনার যদি স্কোর> 100 থাকে তবে আপনি মেল প্রত্যাখ্যান করতে পারেন। আসলে আপনি এই জাতীয় আচরণ পেতে পারেন তবে আপনার নিজের নীতি পরিষেবা লিখতে হবে

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.