Tôi có máy chủ Postfix phục vụ một số tên miền với SPF, DMARC, DKIM được đặt chính xác và thử nghiệm nhiều lần. Vì vậy, không có giả mạo đang diễn ra. Tuy nhiên, bất chấp mọi nỗ lực của tôi để điều chỉnh cấu hình Postfix, các thư rác gửi đi như dưới đây thường xuyên lọt qua máy chủ:
Ngày 5 tháng 8 08:37:38 postfix/lỗi thư [9631]: BC96418C10: to=<[email protected]>, relay=none, delay=161913, delays=161238/676/0/0.04, dsn=4.4.2 , status=deferred (việc gửi tạm thời bị đình chỉ: hội thoại với mx1.comcast.net[96.114.157.80] đã hết thời gian trong khi nhận được lời chào máy chủ ban đầu)
Ngày 5 tháng 8 10:07:45 sửa lỗi/postfix thư[31924]: BC96418C10: to=<[email protected]>, relay=none, delay=167320, delays=166039/1281/0/0.04, dsn=4.4.3 , status=deferred (tạm thời bị treo: Không tìm thấy máy chủ hoặc tên miền. Lỗi dịch vụ tên cho name=comcast.net type=MX: Không tìm thấy máy chủ, hãy thử lại)
Ngày 5 tháng 8 11:23:43 hậu tố thư/lỗi [18751]: BC96418C10: to=<[email protected]>, relay=none, delay=171878, delays=171438/440/0/0.12, dsn=4.4.1 , status=deferred (tạm thời bị treo: kết nối với mx2.comcast.net[2001:558:fe21:2a::6]:25: Không truy cập được mạng)
Ngày 5 tháng 8 12:54:11 sửa lỗi/postfix thư[8920]: BC96418C10: to=<[email protected]>, relay=none, delay=177306, delays=175938/1367/0/0.06, dsn=4.4.1 , status=deferred (tạm thời bị treo: kết nối với mx1.comcast.net[2001:558:fe16:1b::15]:25: Không truy cập được mạng)
Ngày 5 tháng 8 14:07:22 sửa lỗi/postfix thư[27186]: BC96418C10: to=<[email protected]>, relay=none, delay=181697, delays=181338/359/0/0.03, dsn=4.4.1 , status=deferred (tạm thời bị treo: kết nối với mx2.comcast.net[2001:558:fe21:2a::6]:25: Không truy cập được mạng)
Dưới đây là một số cài đặt Postfix có thể liên quan:
virtual_alias_maps = hash:/etc/postfix/virtual
mailbox_command = /usr/bin/procmail-wrapper -o -a $DOMAIN -d $LOGNAME
smtpd_sasl_auth_enable = có
smtpd_tls_security_level = mã hóa
smtp_tls_security_level = có thể
hộp thư_size_limit = 0
smtpd_tls_auth_only = có
smtpd_tls_key_file = /ssl/ssl.key
smtpd_tls_CAfile = /ssl/ssl.ca
smtpd_tls_cert_file = /ssl/ssl.crt
smtp_use_tls = có
smtpd_soft_error_limit = 5
smtpd_hard_error_limit = 10
milter_default_action = chấp nhận
smtpd_milters = inet:localhost:8891
non_smtpd_milters = inet:localhost:8891
smtpd_helo_required = có
smtpd_sasl_auth_enable = có
smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated reject_unauth_destination
smtpd_recipient_restrictions = permit_sasl_authenticated reject_unauth_destination check_policy_service unix:/var/spool/postfix/postgrey/socket permit_inet_interfaces
smtpd_sender_restrictions = reject_unknown_sender_domain,
hàm băm check_sender_access:/etc/postfix/access
Tất cả các tài khoản e-mail hợp pháp được liệt kê trong /etc/postfix/ảo và lý tưởng nhất là chỉ họ mới có thể gửi chứ không ai khác. Ngoài ra, tôi đã thêm tất cả các địa chỉ IP nơi các miền đó thực sự được lưu trữ và do đó có thể gửi thư qua máy chủ thư này với mạng của tôi = cài đặt.
Vì vậy, nếu tôi đặt:
smtpd_relay_restrictions = permit_mynetworks, từ chối
thì thư rác được ngăn chặn hiệu quả. Tuy nhiên, trong trường hợp đó, người dùng hợp pháp không thể kết nối với tài khoản thư của họ từ các chương trình ứng dụng email như điện thoại di động. Vì vậy, tôi phải nới lỏng quy tắc trên một chút như:
smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated reject_unauth_destination
Ai đó có thể chỉ cho tôi cách làm thế nào để cho phép người dùng hợp pháp có thể sử dụng máy chủ thư này, đồng thời ngăn chặn tất cả các bên khác gửi bất kỳ thứ gì từ máy chủ thư này không?
CHỈNH SỬA #1:
Nhờ con trỏ anx', tôi đã thực hiện các bước tiếp theo và đây là siêu dữ liệu được trích xuất bằng postcat -vq 3825218E12 chỉ huy. ID của tin nhắn là khác nhau, nhưng vấn đề là như nhau:
postcat: name_mask: tất cả
postcat: inet_addr_local: đã cấu hình 2 địa chỉ IPv4
postcat: inet_addr_local: đã cấu hình 2 địa chỉ IPv6
*** PHONG BÌ HỒ SƠ trả chậm/3/3825218E12 ***
message_size: 8340 682 1 0 8340
message_arrival_time: Thứ Năm, ngày 12 tháng 8, 18:31:08, 2021
create_time: Thứ Năm ngày 12 tháng 8 18:31:08 năm 2021
tên_thuộc tính: log_ident=3825218E12
tên_thuộc tính: rewrite_context=remote
tên_thuộc tính: sasl_method=LOGIN
tên_thuộc tính: sasl_username=root
người gửi: [email protected]
tên_thuộc tính: log_client_name=unknown
tên_thuộc tính: log_client_address=93.122.252.5
tên_thuộc tính: log_client_port=8529
tên_thuộc tính: log_message_origin=unknown[93.122.252.5]
tên_thuộc tính: log_helo_name=213.233.88.90
tên_thuộc tính: log_protocol_name=ESMTP
tên_thuộc tính: client_name=unknown
tên_thuộc tính: reverse_client_name=unknown
tên_thuộc tính: client_address=93.122.252.5
tên_thuộc tính: client_port=8529
tên_thuộc tính: helo_name=213.233.88.90
tên_thuộc tính: protocol_name=ESMTP
tên_thuộc tính: client_address_type=2
tên_thuộc tính: dsn_orig_rcpt=rfc822;[email protected]
người nhận gốc: [email protected]
người nhận: [email protected]
con trỏ_bản ghi: 0
*** NỘI DUNG TIN NHẮN hoãn lại/3/3825218E12 ***
regular_text: Đã nhận: từ 213.233.88.90 (không xác định [93.122.252.5])
regular_text: by mail.mydomain.tld (Postfix) với ESMTPSA id 3825218E12
regular_text: cho <[email protected]>; Thu, 12 Thg 8 2021 18:31:08 +0000 (UTC)
con trỏ_bản ghi: 9682
regular_text: DKIM-Filter: OpenDKIM Filter v2.11.0 mail.mydomain.tld 3825218E12
bản ghi con trỏ: 9043
regular_text: DKIM-Signature: v=1; a=rsa-sha256; c=thoải mái/thoải mái; d=thebriefguy.com;
regular_text: s=default; t=1628793068;
regular_text: bh=2YMB5PSTO3RHAXFabkN43xdUCrxjEQOw0Xw/uLJ1zX8=;
regular_text: h=From:To:Subject:Date:From;
regular_text: b=edi8WNplYs2gx/aYmKl9vbY1OE3jfVZ284faDviyICbDTm51y5CgBXg3QzcShuaL6
regular_text: PsxGqHaqqXnF32EsA0UnqQ2q71Z8DVeEnQVp1njnqA3ECE3hiWj8UUeobRClZw7eEP
regular_text: z2PK95dI6kfHlCcBnEgJph2pr5ilxDv4Brl9s02s7Q/2ikwHHGWh+8Gwr24CQfnBJK
regular_text: lXrkBZVgmi65/6b6kVxmto+3oqV9avsd/9ja+CcMRs7+CsKjeHz7GA/9P3yB24/fNT
regular_text: sAjWFvQA14zkcEjFpPmZFm/6ZjLkf0pi53vx+JamwdB5C4KzhDSKkgX6rXNYYwMu+o
regular_text: jcADLvrnBCDtQ==
regular_text: Message-ID: <[email protected]>
con trỏ_bản ghi: 936
regular_text: Từ: Xfinity <[email protected]>
regular_text: Tới: [email protected]
regular_text: Chủ đề: Cập nhật quan trọng
regular_text: Ngày: Thứ năm, ngày 12 tháng 8 năm 2021 11:31:06 -07:00
regular_text: Tổ chức: Xfinity
regular_text: MIME-Phiên bản: 1.0
regular_text: Loại nội dung: văn bản/html; bộ ký tự = "utf-8"
regular_text: Content-Transfer-Encoding: trích dẫn-in được
con trỏ_bản ghi: 0
văn bản chính quy:
Tôi lo lắng về những dòng cụ thể này:
tên_thuộc tính: sasl_method=LOGIN
tên_thuộc tính: sasl_username=root
Tôi đã thay đổi mật khẩu của root bằng:
gốc saslpasswd2
tuy nhiên, tôi không chắc cách diễn giải đoạn mã trên và chính xác cách họ có thể đăng nhập với quyền root. Máy chủ thư được cấu hình mới và tôi chưa bao giờ chạm vào người dùng sasl nguồn gốc trước đây, vì vậy tôi tự hỏi liệu nó có đi kèm với một loại mật khẩu mặc định nào đó và có cần phải luôn thay đổi mật khẩu này không? Ngoài ra, tôi tự hỏi liệu đã thực hiện đủ các bước để giải quyết vấn đề hay có một số bước bổ sung khác được khuyến nghị?
CHỈNH SỬA #2:
Đây là đầu ra của postconf -n chỉ huy:
alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
thư mục lệnh = /usr/sbin
config_directory = /etc/postfix
daemon_directory = /usr/libexec/postfix
data_directory = /var/lib/postfix
debug_peer_level = 2
debugger_command = PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin ddd $daemon_directory/$ process_name $ process_id & ngủ 5
default_destination_concurrency_limit = 1
home_mailbox = Maildir/
html_directory = không
inet_interfaces = tất cả
inet_protocols = tất cả
ban đầu_đích_đồng tiền = 1
mail_owner = hậu tố
mailbox_command = /usr/bin/procmail-wrapper -o -a $DOMAIN -d $LOGNAME
hộp thư_size_limit = 0
mailq_path = /usr/bin/mailq.postfix
manpage_directory = /usr/share/man
milter_default_action = chấp nhận
mydestination = mail.mydomain.tld, thư, máy chủ cục bộ
tên miền của tôi = tên miền của tôi.tld
myhostname = mail.mydomain.tld
mynetworks = KHỐI ĐỊA CHỈ IP ĐÃ BỊ XÓA
newaliases_path = /usr/bin/newaliases.postfix
non_smtpd_milters = inet:localhost:8891
queue_directory = /var/spool/postfix
readme_directory = /usr/share/doc/postfix-2.10.1/README_FILES
sample_directory = /usr/share/doc/postfix-2.10.1/samples
sender_bcc_maps = hash:/etc/postfix/bcc
sender_dependent_default_transport_maps = hàm băm:/etc/postfix/phụ thuộc
sendmail_path = /usr/sbin/sendmail.postfix
setgid_group = postdrop
smtp_tls_security_level = có thể
smtp_use_tls = có
smtpd_hard_error_limit = 10
smtpd_helo_required = có
smtpd_helo_restrictions = permit_mynetworks permit_sasl_authenticated reject_invalid_helo_hostname reject_non_fqdn_helo_hostname reject_unknown_helo_hostname check_helo_access hash:/etc/postfix/helo_access
smtpd_milters = inet:localhost:8891
smtpd_recipient_restrictions = permit_mynetworks permit_sasl_authenticated reject_non_fqdn_hostname reject_non_fqdn_sender reject_non_fqdn_recipient reject_unauth_destination reject_unauth_pipelining reject_invalid_hostname reject_unknown_reverse_client_hostname reject_rbl_client bl.spamcop.net reject_rhsbl_helo dbl.spamhaus.org reject_rhsbl_reverse_client dbl.spamhaus.org reject_rhsbl_sender dbl.spamhaus.org reject_rbl_client zen.spamhaus.org permit_dnswl_client swl.spamhaus.org
smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated reject_unauth_destination reject_rbl_client sbl.spamhaus.org giấy phép
smtpd_sasl_auth_enable = có
smtpd_sender_restrictions = permit_mynetworks permit_sasl_authenticated reject_unknown_sender_domain, check_sender_access hash:/etc/postfix/access reject_unknown_reverse_client_hostname reject_unknown_client_hostname
smtpd_soft_error_limit = 5
smtpd_tls_CAfile = /ssl/ssl.ca
smtpd_tls_auth_only = có
smtpd_tls_cert_file = /ssl/ssl.crt
smtpd_tls_key_file = /ssl/ssl.key
smtpd_tls_security_level = mã hóa
Unknown_local_recipient_reject_code = 550
virtual_alias_maps = hash:/etc/postfix/virtual
Và đây là đầu ra của postconf -M:
smtp inet n - n - - smtpd -o smtpd_sasl_auth_enable=yes -o smtpd_tls_security_level=may
đón unix n - n 60 1 đón
dọn dẹp unix n - n - 0 dọn dẹp
qmgr unix n - n 300 1 qmgr
tlsmgr unix - - n 1000? 1 tlsmgr
viết lại unix - - n - - viết lại tầm thường
thoát unix - - n - 0 thoát
trì hoãn unix - - n - 0 thoát
dấu vết unix - - n - 0 bị trả lại
xác minh unix - - n - 1 xác minh
tuôn ra unix n - n 1000? 0 tuôn ra
proxymap unix - - n - - proxymap
proxywrite unix - - n - 1 proxymap
smtp unix - - n - - smtp
chuyển tiếp unix - - n - - smtp
showq unix n - n - - showq
lỗi unix - - n - - lỗi
thử lại unix - - n - - lỗi
loại bỏ unix - - n - - loại bỏ
unix cục bộ - n n - - cục bộ
unix ảo - n n - - ảo
lmtp unix - - n - - lmtp
đe unix - - n - 1 đe
scache unix - - n - 1 scache
đệ trình inet n - n - - smtpd -o smtpd_sasl_auth_enable=yes -o smtpd_tls_security_level=may
smtps inet n - n - - smtpd -o smtpd_sasl_auth_enable=yes -o smtpd_tls_security_level=may -o smtpd_tls_wrappermode=yes
