SPF记录:QUEUE only PASS;无队列
SPF records: QUEUE only PASS; NOQUEUE NONE
我们正在为外部客户提供邮件处理服务。为了防止垃圾邮件发送者通过我们的第一跳(CentOS 6.6,Postfix 2.11.3)进行中继,我想检查是否存在 SPF 记录。我可以使用 pypolicyd-spf (https://launchpad.net/pypolicyd-spf/) 来实现。
问题是 pypolicyd-spf 不会拒绝来自没有 SPF 记录的域的 MAIL FROM 邮件的邮件。也就是说,如果垃圾邮件发送者试图从没有 SPF 记录的域进行中继,则 pypolicyd-spf 会显示:
1 月 6 日 22:38:54 DVR01 postfix/smtpd[31777]:从 118-160-214-49.dynamic.hinet.net[118.160.214.49] 连接
1 月 6 日 22:38:55 DVR01 policyd-spf[31781]:无;身份=赫洛;客户端-ip=118.160.214.49; helo=144.202.242.201;信封来自=dsobmxjdmtqlk@yam.com;接收者=brian772071@yahoo.com.tw
1 月 6 日 22:38:55 DVR01 policyd-spf[31781]:无;身份=邮件来源;客户端-ip=118.160.214.49; helo=144.202.242.201;信封来自=dsobmxjdmtqlk@yam.com;接收者=brian772071@yahoo.com.tw
1 月 6 日 22:38:55 DVR01 postfix/smtpd[31777]:89B191C03D0:客户端=118-160-214-49.dynamic.hinet.net[118.160.214.49]
1 月 6 日 22:39:00 DVR01 postfix/cleanup[31782]:89B191C03D0:消息 ID=
1 月 6 日 22:39:00 DVR01 postfix/qmgr[31775]: 89B191C03D0: from=, size=7053, nrcpt=19 (queue active)
1 月 6 22:39:00 DVR01 postfix/smtp[31783]: 89B191C03D0: to=, relay=RLY01.DEV.MS.LOCAL[192.168.111.117]:25, delay=5.9, delays=5.9/0/0.02/0.01 , dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as 52C4D1C04DB)
作为参考,SPF FAIL 如下所示:
1 月 7 日 17:18:22 DVR01 postfix/smtpd[45867]:从未知连接 [221.5.48.181]
1 月 7 17:18:22 DVR01 policyd-spf[45870]:无;身份=赫洛;客户端-ip=221.5.48.181; helo=cgtisxj;信封来自=uuuuuu@posteli.com;接收者=xulong.ping@163.com
1 月 7 17:18:22 DVR01 policyd-spf[45870]:失败;身份=邮件来源;客户端-ip=221.5.48.181; helo=cgtisxj;信封来自=uuuuuu@posteli.com;接收者=xulong.ping@163.com
1 月 7 17:18:22 DVR01 postfix/smtpd[45867]:NOQUEUE:拒绝:来自未知 [221.5.48.181] 的 RCPT:550 5.7.1:收件人地址被拒绝:消息被拒绝,原因是:SPF 失败 - 未授权。请参阅http://www.openspf.net/Why?s=mfrom;id=uuuuuu@posteli.com;ip=221.5.48.181;r=xulong.ping@163.com;从=到=原型=ESMTP helo=
实际上,我想拒绝 NONE 结果。
通常情况下,这不是一个好主意;并非每个人都为其域实施了 SPF 记录。但我们将要求我们的客户使用它,因此我们不关心从没有 SPF 记录的域接收邮件。
所以,问题是:至少使用我已有的一些东西(我宁愿坚持使用 CentOS 和 Postfix,)我怎么能只接受 "Pass; identity=mailfrom"?
谢谢,
内森
你能只使用 DMARC 吗?它可以配置为仅 SPF,对齐要求将满足您的 'identity=mailfrom' 需求。这是 DMARC 标准的 Postfix 实现 - http://www.trusteddomain.org/opendmarc/ .
如果您可以要求您的客户拥有 SPF,难道您不能也要求他们拥有 DMARC 吗?
我们正在为外部客户提供邮件处理服务。为了防止垃圾邮件发送者通过我们的第一跳(CentOS 6.6,Postfix 2.11.3)进行中继,我想检查是否存在 SPF 记录。我可以使用 pypolicyd-spf (https://launchpad.net/pypolicyd-spf/) 来实现。
问题是 pypolicyd-spf 不会拒绝来自没有 SPF 记录的域的 MAIL FROM 邮件的邮件。也就是说,如果垃圾邮件发送者试图从没有 SPF 记录的域进行中继,则 pypolicyd-spf 会显示:
1 月 6 日 22:38:54 DVR01 postfix/smtpd[31777]:从 118-160-214-49.dynamic.hinet.net[118.160.214.49] 连接 1 月 6 日 22:38:55 DVR01 policyd-spf[31781]:无;身份=赫洛;客户端-ip=118.160.214.49; helo=144.202.242.201;信封来自=dsobmxjdmtqlk@yam.com;接收者=brian772071@yahoo.com.tw 1 月 6 日 22:38:55 DVR01 policyd-spf[31781]:无;身份=邮件来源;客户端-ip=118.160.214.49; helo=144.202.242.201;信封来自=dsobmxjdmtqlk@yam.com;接收者=brian772071@yahoo.com.tw 1 月 6 日 22:38:55 DVR01 postfix/smtpd[31777]:89B191C03D0:客户端=118-160-214-49.dynamic.hinet.net[118.160.214.49] 1 月 6 日 22:39:00 DVR01 postfix/cleanup[31782]:89B191C03D0:消息 ID= 1 月 6 日 22:39:00 DVR01 postfix/qmgr[31775]: 89B191C03D0: from=, size=7053, nrcpt=19 (queue active) 1 月 6 22:39:00 DVR01 postfix/smtp[31783]: 89B191C03D0: to=, relay=RLY01.DEV.MS.LOCAL[192.168.111.117]:25, delay=5.9, delays=5.9/0/0.02/0.01 , dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as 52C4D1C04DB)
作为参考,SPF FAIL 如下所示:
1 月 7 日 17:18:22 DVR01 postfix/smtpd[45867]:从未知连接 [221.5.48.181] 1 月 7 17:18:22 DVR01 policyd-spf[45870]:无;身份=赫洛;客户端-ip=221.5.48.181; helo=cgtisxj;信封来自=uuuuuu@posteli.com;接收者=xulong.ping@163.com 1 月 7 17:18:22 DVR01 policyd-spf[45870]:失败;身份=邮件来源;客户端-ip=221.5.48.181; helo=cgtisxj;信封来自=uuuuuu@posteli.com;接收者=xulong.ping@163.com 1 月 7 17:18:22 DVR01 postfix/smtpd[45867]:NOQUEUE:拒绝:来自未知 [221.5.48.181] 的 RCPT:550 5.7.1:收件人地址被拒绝:消息被拒绝,原因是:SPF 失败 - 未授权。请参阅http://www.openspf.net/Why?s=mfrom;id=uuuuuu@posteli.com;ip=221.5.48.181;r=xulong.ping@163.com;从=到=原型=ESMTP helo=
实际上,我想拒绝 NONE 结果。
通常情况下,这不是一个好主意;并非每个人都为其域实施了 SPF 记录。但我们将要求我们的客户使用它,因此我们不关心从没有 SPF 记录的域接收邮件。
所以,问题是:至少使用我已有的一些东西(我宁愿坚持使用 CentOS 和 Postfix,)我怎么能只接受 "Pass; identity=mailfrom"?
谢谢, 内森
你能只使用 DMARC 吗?它可以配置为仅 SPF,对齐要求将满足您的 'identity=mailfrom' 需求。这是 DMARC 标准的 Postfix 实现 - http://www.trusteddomain.org/opendmarc/ .
如果您可以要求您的客户拥有 SPF,难道您不能也要求他们拥有 DMARC 吗?