四. Sendmail 8.9.3: anti-relaying(拒绝传递)怎么工作?
a. 如果Mail From:行有下面的参数,sendmail拒绝mail relay:
1.发送者的域名不能被解析。这个能用FEATURE(accept_unresolvable_domains)被禁止。
2.非全称的域名。能被用FEATURE(accept_unresolvable_domains)禁止。
3.与access map( /etc/mail/access)中的一项匹配。
域名:如spammer.domain reject
全称email地址:如spammer@domain reject
邮件地址的用户名部分:如spammer@ reject
或者不用''reject''用''error code error text''
spammer.domain "501 No e-mail from this domain."
spammer@domain "501 No e-mail from your address."
spammer@ "501 Get a real address."
甚至用DISCARD (接收并安静地删除掉,让发送者感觉象被接收)
b.检查接收者。
用FEATURE(blacklist_recipients)允许指定access map中不应该接收email的用户。
如:
badlocaluser 550 Mailbox disabled for this username
host.mydomain 550 That host does not accept mail
user@otherhost.mydomain 550 Mailbox disabled for this recipient
这将禁止发到你本地域中的用户邮件地址badlocaluse@mydomain和在主机
host.mydomain中的任何用户和单个地址 user@otherhost.mydomain.
注:关于access map的说明:
它的默认位置是/etc/mail/access. 每次更新后你必须运行
makemap hash /etc/mail/access.db < /etc/mail/access ,不需要重启用Sendmail.
它可以有以下入口:
1.域名
2.email地址
3.本地用户名部分
4.IP地址(完整的或者子网)
和以下操作标记:
1.OK
接收email,即使被其它规则拒绝了
2.RELAY
允许通过该邮件主机relay的域。relay意味着OK
3.REJECT
拒绝email并显示内部通用的错误提示
4.DISCARD
安静地接收随后取消掉这封邮件
5.XYZ some other text
XYZ是 RFC 821兼容的错误代码后面跟上一段自定义的错误信息
五.常见的两种检查规则
1. check_relay 规则(发送者检查):
检查主机名和IP地址,当无论什么时候,一台客户通过(E)SMTP连到邮件服务器时该规则被调用。
2. check_rcpt 规则(接收者检查):
用于RCPT命令(用来禁止未被授权的relay).该规则禁止了所有的已知的relay诡计。
你能#tail -f /var/log/maillog检查是否某个邮件被运用了上述规则。
六. Why "550 Relaying Denied"?
如果你从你自己的邮件服务器得到了一个错误说"550 Relaying Denied",你需要弄清楚为什么,甚至可能你认为这决不应该发生,但是你可能忽略了某些细节,看上去是应该被Relay,但实际上不。看下面的几个例子:
1.正确的DNS数据
QAA02454: ... we do not relay
QAA02454: ruleset=check_rcpt, arg1=,
relay=170-51-209.ipt.aol.com [152.170.51.209], reject=550
... we do not relay
QAA02454: from=, size=0, class=0, pri=0, nrcpts=0,
proto=SMTP, relay=170-51-209.ipt.aol.com [152.170.51.209]
这里,主机名为170-51-209.ipt.aol.com的机器IP地址为152.170.51.209 试着交付一封邮件给,然而,这个被拒绝了,因为接收者不是本地接收者并且发送者的机器170-51-209.ipt.aol.com(152.170.51.209)也不是本地发送者。
2.错误的DNS数据
QAA02454: ... Relaying denied
QAA02454: ruleset=check_rcpt, arg1=, relay=[134.245.85.93],
reject=550 ... Relaying denied
QAA02454: from=, size=0, class=0, pri=0, nrcpts=0,
proto=SMTP, relay=[134.245.85.93]
这个其实与上面的情况相同,对于IP地址134.245.85.93没有PTR记录被找到,关于这一点有个问题就是:万一你的邮件主机的relay功能仅仅是基于主机/域名进行检查是否为本地发送者,(e.g., FEATURE(relay_entire_domain),那样的话,如果该IP地址是属于你的本地域之内,仍将被你拒绝relay.解决办法是为这个IP地址加PTR记录,也就是反向DNS解析,或者添加到/etc/hosts文件中,再或者添加该IP地址到access map 中去(/etc/mail/access)。
3.不一致的DNS数据
QAA02454: ... Relaying denied
QAA02454: ruleset=check_rcpt, arg1=,
relay=some.domain [10.0.0.1] (may be forged),
reject=550 ... Relaying denied
QAA02454: from=, size=0, class=0, pri=0, nrcpts=0,
proto=SMTP, relay=some.domain [10.0.0.1] (may be forged)
这儿,(may be forged)是个很重要的部分:它说明对于该主机的DNS数据是不一致的,并且主机名不被用来检查是否被允许relay,而仅仅检查IP地址,因此这和第二种情况相同。
七. 动态Relay授权控制简介:(DRAC)
DRAC是一个后台程序,它动态地为Sendmail更新access map文件,它提供一种方法,就是允许合法的用户通过你的SMTP邮件主机relay mail,同时仍然阻止其它人用它作为Spam Relay.当用户被POP/IMAP服务器认证后其IP地址被立即加入/etc/mail/access允许mail relay.默认地,该IP地址在access map的入口在30分钟后被终止了。
这种功能特别是对那些公司有用,它们在各个地方有办事处,外地办事处或出差在外的笔记本用户通过拨入当地ISP,且设置了发送邮件服务器为本公司的SMTP邮件主机时。
一般地,Sendmail所能看见的唯一可靠的信息是客户机的主机/域名或IP地址,并且当一个用户是通过拨本地ISP连接到其本公司总部的SMTP邮件服务器时,Sendmail不能分辩你的用户是spammer还是本公司合法员工,如果拨号用户有固定的IP地址/域名,你可以配置sendmail允许他们relay mail.但是大多数情况,特别在中国,拨号用户每次得到的是不同的变化多端的IP地址,因此你不得不告诉用户通过他们本地ISP提供的邮件主机发送邮件.
DRAC所用的方法是叫做POP-before-SMTP, 既然POP服务器知道每一个接收邮件的客户机的IP地址,这些IP地址能被收集起来动态构建access map,你可能需要写一个程序来收集这些地址,象上面说的一样,默认保留30分钟然后取消这些IP地址的mail relay. 一般地定期运行makemap程序更新access map.
这有两种情况:
1. 拨到ISP后先收后发.
2. 在发件信(outbox)中有信,拨号后先发后收.
第一种情况没有问题,对于第二种情况,需要在连到POP3信箱收信之后邮件才能被发送,
第一次发送将被拒绝.
第二种情况在被POP3取得认证后,随即access map被更新允许SMTP Mail Relay.
八.参考资料:
1. Sendmail homepage: http://www.sendmail.org
2. Third-Party Mail Relay: http://maps.vix.com/tsi/ar-what.html
3. Stop Spam Website: http://www.stopspam.org
4. Dynamic Relay Authorization Control: http://mail.cc.umanitoba.ca/drac/index.html
5. Reading Email Headers: http://www.stopspam.org/email/headers/headers.html
Sendmail 8.9.3中的Mail Relay 规则简介
0
相关文章
关注我们
