Eu tenho um retransmissor SMTP que retransmite para nosso servidor de encaminhamento de e-mail, mas atualmente está aceitando e-mails de todos os tipos de spammers desagradáveis ​​e nosso host de encaminhamento de e-mail (com razão) suspendeu o encaminhamento até que possamos bloquear um pouco mais as coisas. Portanto, gostaria de bloquear esse relé para que apenas e-mails com um valor 'de' específico sejam aceitos como um bom começo.

De acordo com o controle de qualidade em Rejeitar remetentes não listados no Postfix , tentei definir isso em main.cf:

smtpd_sender_restrictions =
    check_sender_access hash:/etc/postfix/acl_unknown_permited
    reject_unlisted_sender

..e criando um novo arquivo /etc/postfix/acl_unknown_permitedcom o seguinte conteúdo:

[email protected] permit

...com o nome de servidor apropriado.

Isso não parece estar rejeitando e-mail, pois definir o endereço do remetente para algo fora de [email protected]como [email protected]não é rejeitado.

Existe outra configuração que possa estar substituindo o que defini aqui?

A única coisa que posso pensar que pode estar dando errado neste momento é que o alvo do nosso retransmissor está adiando as tentativas de envio de e-mail. Isso poderia estar mascarando o problema (eu esperava que a rejeição acontecesse antes de atingirmos o seguinte erro e estou cauteloso para abrir o próximo estágio até que tenhamos totalmente amarrado o revezamento)?

Apr 25 22:13:37 smtp-relay postfix/smtp[447151]: BE0FB4247C: to=<[email protected]>, relay=email.forwarder.com [X.X.X.X]:587, delay=0.29, delays=0.09/0.02/0.17/0, dsn=4.0.0, status=deferred (SASL authentication failed; server email.forwarder.com [X.X.X.X] said: 535 Too many failed login requests from Y.Y.Y.Y. Try again later. #MS-ST-D)
answer

Parece o início de uma reavaliação maior, então vamos começar com dois itens:

  1. As restrições Postfix SMTPd são impostas no daemon SMTP: once , enquanto escolhe se aceita e-mails enviados e enfileira-os ou se os rejeita. Depois de colocar restrições adicionais em e-mails recém-aceitos , você ainda precisa separar manualmente os e-mails indesejados já aceitos em sua fila. Execute postqueue -ppara produzir uma listagem da aparência da fila atualmente. Se você não puder determinar facilmente que cada item da fila não é autorizado, encontrará maneiras de separar o joio do trigo procurando postsuperinstruções.

  2. Apenas colocar restrições em remetentes de envelope aceitáveis ​​pode ter pouco ou nenhum impacto na quantidade de spam que você retransmite - os spammers provavelmente ainda podem enviar e-mails usando qualquer cabeçalho de endereço e qualquer conteúdo. Você provavelmente deseja impor restrições adicionais substanciais , como exigir que o remetente autentique ou exigir que os e-mails sejam originados de redes específicas (IPv4/IPv6) sob seu controle (geralmente feito por meio da configuração mynetworks).