приветствую
Victor Ustugov wrote:
>> фильтрация по A и MX записям домена отправителя есть.
>>>> давненько уже надо было прикрутить фильтрацию по TXT записям домена
>> отправителя.
>> т. к. SPF записи могут быть опубликованы не только в виде TXT записей,
> но в виде собственно записей типа SPF (bind поддерживает такие записи с
> версии 9.4), показалось целесообразным сделать фильтр и по именно SPF
> записям доменов отправителей
в дополнение к фильтрации по A, MX, TXT и SPF записям добавлена
поддержка фильтрации по NS записям
практически данную проверку можно применить к доменам, которые хостятся
на DNS серверах, на которых хостятся явно спамерские домены.
в качестве примера можно привести ns1.pegas-dns.com и ns2.pegas-dns.com,
на которых хостится достаточно большое количество доменов, в SPF записях
которых фигурируют сети с маской 2 бита.
примеры:
wsewomail.ru
nbvcxz.ru
orangepost.ru
jomail.ru
следует понимать, что данный критерий фильтрации очень ненадежный.
поэтому, не смотря на обычный набор действий, приведенный ниже, отказ в
приеме письма следует применять в крайних случаях. целесообразно
применять серые списки и паузы.
>> для включения механизма используется переменная confCHECK_MAIL_DOMAIN_TXT
>> для включения механизма проверки синтаксиса SPF записей используется
> переменная confCHECK_MAIL_DOMAIN_SPF
для включения механизма проверки NS записей используется переменная
confCHECK_MAIL_DOMAIN_NS
>> список возможных значений традиционный:
>> NO - не проводить проверку
>> REJECT - возврата клиенту кода 5xx
>> DEFER - возврата клиенту кода 451
>> WARN - вывод в лог файл предупреждения
>> GREYLIST:XX - добавить XX баллов к счетчику опционального грейлистинга
>> QUARANTINE - принять письмо с сохранением в карантин без доставки
>> получателям
>> REJECT:XX - добавить XX баллов к счетчику опционального reject'а
>> DELAY:XX - задержка XX секунд перед ответом на RCPT TO
>> список возможных значений confCHECK_MAIL_DOMAIN_SPF такой же, как и у
> confCHECK_MAIL_DOMAIN_TXT
список возможных значений confCHECK_MAIL_DOMAIN_NS такой же, как у
confCHECK_MAIL_DOMAIN_SPF и confCHECK_MAIL_DOMAIN_TXT
>> черный список TXT записей доменов отправителей находятся в файле
>> CONFDIR/access-mail-domain-txt в виде:
>> txt_record : действие : сообщение SMTP клиенту : сообщение в лог файл
>>>> в качестве "действия" могут выступать:
>> ok - принимать сообщения
>> warn - выдача предупреждения в лог файл и добавление в
>> заголовки сообщения в поле X-Warn-Mail-TXT, текст
>> сообщения об ошибке может быть указан через
>> двоеточие
>> deny или reject - отказ в приеме сообщения
>> drop - отказ в приеме сообщения с обрывом соединения
>> discard - прием письма без доставки получателю
>> defer - возврат клиенту временной ошибки 4xx
>> quarantine - принять письмо с сохранением в карантин без
>> доставки получателям
>> greylist:xx - добавление xx баллов к счетчику опционального
>> greylisting'а
>> greylisting:xx - синоним greylist:xx
>> reject:yy - добавление yy баллов к счетчику опционального
>> reject'а
>> deny:yy - синоним reject:yy
>> delay:zz - задержка на zz секунд перед продолжением
>> обработки сообщения
>> pause:zz - синоним delay:zz
>> список действий, которые можно указывать в файле
> CONFDIR/access-mail-domain-spf такой же, как и для
> CONFDIR/access-mail-domain-txt
>>> поля "сообщение SMTP клиенту" и "сообщение в лог файл" могут отсутствовать.
>>>> если в файле CONFDIR/access-mail-domain-txt будет отсутствовать и поле
>> "действие", то будет выполнено действие по умолчанию из переменной
>> confCHECK_MAIL_DOMAIN_TXT
>>>> пример:
>>>> \N^v=spf.*/2\s\-all$\N : deny : Access denied : Suspicious SPF record
>> "$acl_m_key"
>> все тоже самое касается проверки SPF записей с помощью
> confCHECK_MAIL_DOMAIN_SPF и файла данных CONFDIR/access-mail-domain-spf
данные для проверки NS записей доменов отправителей нужно указывать в
файле CONFDIR/access-mail-domain-ns
структура файла и список возможных действий аналогичны вышеприведенным
для проверки txt и spf записей домена отправителя
добавлю лишь, что NS записи можно указывать в файле
CONFDIR/access-mail-domain-ns как в виде имен хостов, так и в виде IP
адресов и сетей.
в случае необходимости указать исключение для какого-либо домена
отправителя, запись с этим доменом нужно внести в файл
CONFDIR/access-mail-domain-ns со значением "ok"
--
Best wishes Victor Ustugov mailto:victor на corvax.kiev.ua
public GnuPG/PGP key: http://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 77186900, 371808614 nic-handle: CRV-UANIC