后修复内容过滤器(垃圾邮件)被绕过

Question

最近，我们收到了很多日本垃圾邮件，其中包含奇怪的标题。至少，它看起来像是远程提供邮件，但是邮件的处理方式就好像它是在内部发送的，这就绕过了内容过滤器。

Received: by mail.mydomain.tld (Postfix, from userid 5001)
    id 6B03E49E06C; Fri, 20 Jul 2018 16:11:41 +0200 (CEST)
Received: from mail.mydomain.tld (mail.mydomain.tld [127.0.0.1])
    by mail.mydomain.tld (Postfix) with ESMTP id 9D42049E05D
    for <MAILER-DAEMON@mail.mydomain.tld>; Fri, 20 Jul 2018 16:11:41 +0200 (CEST)
Received: from uc.cn (unknown (80.223.20.65])
     by uc.cn with SMTP id 9b2d56fa-9aab-41fd-bf0b-dc1fcc4d8b6b;
     for <3511568185@qq.com>;Fri, 20 Jul 2018 22:11:52 +08:00
Received: from uc.cn (unknown [222.185.22.12])
    by mail.mydomain.tld (Postfix) with SMTP id 910DF49E05D
    for <MAILER-DAEMON@mail.mydomain.tld>; Fri, 20 Jul 2018 16:11:39 +0200 (CEST)
Received: by mail.mydomain.tld (Postfix)
    id B312049E05F; Fri, 20 Jul 2018 16:11:41 +0200 (CEST)
Return-Path: <3511568185@qq.com>
From: =?utf-8?B?6aG+5YWx?= <3511568185@qq.com>
To: <MAILER-DAEMON@mail.mydomain.tld>
Subject: =?utf-8?B?54aK546rfumdouivleaIkOWKn37opoHpgIHkvaAxODjntrXph5Eg5Yqg?=
    =?utf-8?B?5oiR5LyB6bmFMjgxMzMzOTc3MSDpooYg6L+e5o6lIDU1NDYzOEMwTSAgICA=?=
    =?utf-8?B?ICAgIA0KDQoNCg0KDQoNCg0KDQoNCg0KDQoNCg0KDQo=?=
    =?utf-8?B?DQogICAgICAgICAgICAgICAgICA=?=
Date: Fri, 20 Jul 2018 16:11:52 +0200
Message-ID: <0cc4d3442fe85281401f36bf39f215c9@qq.com>
MIME-Version: 1.0
Content-Type: multipart/alternative;
    boundary="----=_NextPart_000_0E6A_01D42046.4A45B970"
X-Mailer: Microsoft Outlook 15.0
Thread-Index: AQLZY/ijut0x7cMD09Bp+ejCSgrNhw==
Disposition-Notification-To: <3511568185@qq.com>

我们在SpamAssassin 3.3.2中使用后缀2.9.6。使用-o content_filter链接到smtp进程。我们还运行后缀的smtps进程，也使用-o content-filter=链接到SA

我根本找不出消息是如何以这种方式提交的，以及为什么绕过内容过滤器。

Answer 1

我很惊讶你居然让这条消息传到了SpamAssassin。Postfix的几个内置限制早在垃圾邮件发布之前就已经拒绝了。

从我的实时邮件服务器：

smtpd_helo_required = yes

有些垃圾邮件发送者不需要帮助。这个是这样的，但是有了这个，其他基于HELO的检查就可以正常工作，而不是因为不发送HELO而被忽略。

smtpd_helo_restrictions =
        # other items ...
        reject_invalid_helo_hostname,
        reject_unknown_helo_hostname,
        # other items ...

此服务器发送的HELO主机名无效。他们声称是uc.cn，但是查找他们的IP地址给出了NXDOMAIN，而查找uc.cn则给出了不同的IP地址。reject_invalid_helo_hostname和reject_unknown_helo_hostname拒绝来自远程主机的消息，这些主机声称自己不在EHLO/HELO消息中。

smtpd_recipient_restrictions =
        # other items ...
        reject_rbl_client bl.spamcop.net,
        reject_rbl_client cbl.abuseat.org,
        reject_rbl_client zen.spamhaus.org,
        reject_rbl_client b.barracudacentral.org,
        reject_rbl_client dnsbl-1.uceprotect.net,
        check_policy_service unix:private/policy-spf,
        # other items ...

发送邮件给您的IP地址已经出现在众多的垃圾邮件黑名单上。考虑在您的配置中添加一些，在最糟糕的垃圾邮件接近您的服务器之前拒绝它。

检查SPF记录也会导致这封邮件被拒绝。安装SPF服务，如吡啶防晒系数 (在这里使用)。

您可能还会发现后缀文件有趣的阅读。