check_client_access和RBL

Question

为了更好地打击垃圾邮件，我将Postfix配置如下：

smtpd_client_restrictions =

    check_client_access hash:/etc/postfix/client_whitelist
    reject_unknown_client

smtpd_recipient_restrictions =
    permit_mynetworks,
    permit_sasl_authenticated,
    reject_unauth_destination
    reject_non_fqdn_sender,
    reject_non_fqdn_recipient,
    reject_unknown_sender_domain,
    reject_unknown_recipient_domain,
    reject_unauth_destination,
    reject_unauth_pipelining,
    reject_invalid_hostname,
    reject_rbl_client zen.spamhaus.org,
    reject_rbl_client bl.spamcop.net,
    reject_rbl_client l2.apews.org,
    permit

这个配置减少了大量垃圾邮件，使用白名单，我能够处理一些配置错误但合法的服务器，以便接受它们。但是，我想知道，如果其他合法服务器发现自己被列入了这些RBL之一，那么这个特定的白名单配置是否能够完成这一任务。我是不是遗漏了什么？

Answer 1

如果一个“无辜”的邮件服务器位于您配置的一个RBL上，而不是在您的白名单中，那么电子邮件就会被丢弃。

如果你想保护你自己，你需要移动到RBL得分，而不是直接的RBL阻塞。一个很好的方法是使用政策权重评分守护进程。它将集成到后缀中，并以这样的方式工作：

1. 从现在开始，您可以在策略权重中配置您的RBL，您可以为每个RBL分别分配“命中”和“非命中”分数(因此，对于负值，您甚至可以使用白名单RBL)。
2. 例如: rbl1.example.org: 3分3.5，rbl2.foo.org: 4分，最小分值:6分。
3. 现在，如果IP是在rbl2.foo.org中列出的，而不是在rbl1.example.org中列出的，那么它不会被拒绝，因为它没有达到所需的最低分数6分。

此解决方案还保护您不受死RBL的影响。如果他们“死了”，RBL通常用127.0.0.2回答所有的查询，意思是“列出”，以便引起您的注意。但是在你发现错误之前，很多合法的电子邮件都会丢失。

Answer 2

您也可以尝试使用后缀的permit_dnswl_client指令(如果您使用的是后缀2.8+)，例如。这是我在配置中使用的一个：

permit_dnswl_client list.dnswl.org

我在我的配置中使用了几个RBL，但有些更具有侵略性，并列出了来自webmail提供商的I(例如。AOL，gmail，yahoo)，所以我在RBL之前定义的白名单允许那些IP通过。