问题[spam](server)

我有一个本地 procmail 用户“bob”。

如果电子邮件到达并与 [email protected] 匹配，则不应采取任何措施。

但是，如果收到一封电子邮件并且是 [anything_else]@domain.com，那么我想重写主题行以在主题行的前面插入“[spam]”。

所以它是“bob@”的反向匹配（匹配除 bob@ 以外的任何内容），我们保留原始主题行，只是在其前面添加“[spam]”。

我怎么能用 Procmail 做到这一点？

我们从本地 Exchange 2010 迁移到云。在 Sonicwall ESA 中，我能够阻止 TLD（顶级域）。在 Exchange 管理中心，我看到我可以设置单独的或附加的“规则”，但是，我看不到任何选项可以根据字典测试 TLD 以阻止域。在 Microsoft 365 安全中心的“策略”>“反垃圾邮件”>（新策略）下，我似乎可以编辑“允许和阻止的发件人和域”，但看不到如何阻止 TLD 列表，或者是否应该输入“ .domain”或只是“域”。找到设置的文档似乎很难找到。

在“租户允许/阻止列表”中，它似乎只允许进入 20 个域，并且可能是临时的。

哪里最好创建 TLD 字典，并创建这些发送域的组织块？

例如，我们会收到来自 .bar、.date、.webcam 等的垃圾邮件。我意识到这是一场失败的战斗，但我列出的大约 75 个 TLD 列表在大幅减少每日垃圾邮件方面是有效的。现在我们在 365 上，他们已经回到了使用默认 365 过滤器的攻击性级别。

如果垃圾邮件过滤器连接器是最好的方法，您能否提供一些有关 SonicWall 或 TrendMicro 或您选择的供应商与托管过滤器服务的成本、设置和管理的经验？

使用 ISP 的 DNS 服务器配置的 iRedMail 服务器。运行几年没有问题。从当前的 ISP 转移到 Starlink。Starlink 似乎使用 Cloudflare 的公共 DNS。目前让两个 ISP 并行运行，直到切换完成。同样，邮件服务器在旧版 ISP 上运行良好。

当我切换到 Starlink（包括适当的公共 DNS 更改）时，收到来自 Spamhaus 的错误 12.255.255.254，这表明他们不允许来自公共 DNS 服务器的查询。很公平。设置本地未绑定解析器以解决问题。不受约束的工作并用于所有网络客户端。当带有传统 ISP 网关的邮件服务器中用于 DNS 的未绑定服务器 IP 时，传入的邮件会流动。

使用 Starlink 网关时，邮件停止流动。在 Postfix 日志中看不到任何错误。邮件只是停止流动。尽管 Spamhaus 在使用传统网关时似乎很乐意使用 Unbound 服务器，但为了以防万一，我们还是测试了 Spamhaus 的响应。结果很有趣：

% dig +short @[address of Unbound server] 2.0.0.127.zen.spamhaus.org
127.0.0.2
127.0.0.10
127.0.0.4
%

那是对的。但是，以下内容不返回任何内容：

% dig +short @[address of Unbound server] 1.0.0.127.zen.spamhaus.org
% 

从 Spamhaus 文档中，它应该返回：

Host 1.0.0.127.zen.spamhaus.org not found: 3(NXDOMAIN)

Spamhaus 文档还说“对“未列出”对象的查询必须始终返回 NXDOMAIN 才能使邮件过滤正常工作。” “检查‘列出’和‘未列出’查询的正确结果至关重要。”

有趣的是，当我使用旧版 ISP DNS 和网关时，我还得到：

% dig +short @[legacy ISP DNS IP] 1.0.0.127.zen.spamhaus.org
%

顺便说一句，外发邮件适用于所有 ISP 配置。只有传入的邮件有问题。还在 Starlink 后面运行一个运行良好的网络服务器。星链公网IP到现在已经两个月了。

这里到底发生了什么？会不会是 Unbound 服务器配置？我知道 Starlink 是 CGNAT，但这不应该导致这个问题。任何故障排除提示？真是难住了。将不胜感激任何帮助。

更新：

在我将所有内容都转到 Starlink 之后，我在被拒绝的消息中发现了许多看起来像这样的条目：

451 4.3.5 <mta-d-130-24.infusionmail.com>：Helo 命令被拒绝：服务器配置错误；[email protected] to=<mike@[我的公共邮件服务器名称]> proto=ESMTP helo=<mta-d-130-24.infusionmail.com> (总数: 1) 1 infusionmail.com (mailer@输液邮件.com)

更新 2：

按照以下建议设置 BIND9 服务器。同样，邮件在使用 BIND9 DNS 和传统 ISP 网关时会流动，但在使用 Starlink 网关时不会。

使用以下工具测试https://mxtoolbox.com/diagnostic.aspx

当电子邮件服务器在旧版 DSL 之后运行时通过所有测试。在 Starlink 后面运行时，获得：

3/19/2022 5:33:54 PM Connection attempt #1 - Unable to connect after 15 seconds. [15.05 sec]

LookupServer 15051ms

就像电子邮件服务器在 Starlink 后面的端口 25 上没有响应一样。我尝试删除 Postfix 中的所有垃圾邮件规则。还是没有反应。

几乎感觉像是防火墙问题，但我有从 Starlink 路由器转发的端口 25、587 和 993 端口，就像我为传统 DSL 路由器所做的那样。

从我的网络外部，我确定以下端口没有被阻止：

25:

% telnet [My public mail server name] 25
220 [My public mail server name] ESMTP Postfix

587：

% telnet [My public mail server name] 587
220 [My public mail server name] ESMTP Postfix

993：

% openssl s_client -connect [My public mail server name]:993 -crlf -quiet
depth=1 O = Digital Signature Trust Co., CN = DST Root CA X3
verify error:num=10:certificate has expired
notAfter=Sep 30 14:01:15 2021 GMT
verify return:0
depth=1 O = Digital Signature Trust Co., CN = DST Root CA X3
verify error:num=10:certificate has expired
notAfter=Sep 30 14:01:15 2021 GMT
verify return:0
depth=3 O = Digital Signature Trust Co., CN = DST Root CA X3
verify error:num=10:certificate has expired
notAfter=Sep 30 14:01:15 2021 GMT
verify return:0
* OK [CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE IDLE AUTH=PLAIN AUTH=LOGIN] Dovecot (Ubuntu) ready.

这应该证明 Starlink 没有阻止我的任何端口。

我认为到目前为止最重要的一点是 HELO 命令被拒绝。不知道为什么当服务器在 Starlink 而不是传统 ISP 之后运行时它会被拒绝。嗯……

这可能是反向 DNS 问题吗？Starlink 在他们给我的 IP 地址上有一条 PTR 记录：

% host [Starlink public IP]
[Starlink public IP].in-addr.arpa domain name pointer customer.sttlwax1.pop.starlinkisp.net.

% dig +short customer.sttlwax1.pop.starlinkisp.net
% 

% dig +short mail.[my domain].com 
[Starlink public IP]

然后我检查了我的旧版 DSL：

% host [Legacy DSL public IP]
[Legacy DSL public IP].in-addr.arpa domain name pointer client-[Legacy DSL public IP].hostwindsdns.com.

% dig +short client-[Legacy DSL public IP].hostwindsdns.com
% 

% dig +short mail.[my domain].com 
[Legacy DSL public IP]

他们似乎表现相似并且有同样的问题。

处理远程拒绝的退回消息的话题至少被提出了 3 次（1、2、3 ），看起来好像没有真正的解决方案。不过，我想知道是否可以修改退回模板以不包含来自远程服务器的拒绝消息（其中包含有关我不希望发送给垃圾邮件发送者的最终收件人地址的信息）。

提前感谢您的任何提示，Jan

PS。我在 Ubuntu 20.04 上找不到默认的退回模板（它不在 /etc/postfix 或其他任何地方）。如果没有（默认）模板文件，如何创建 DSN？

这个问题与学校的一些软件有关，一部分是学校向学生和家长发送信息。但所有邮件最终都在 Gmail 垃圾邮件文件夹中。如果我查看过去 120 天的 google postmaster 工具，它会说：

• 用户报告的垃圾邮件：0%
• IP 信誉：100%，但仅限一天。没有其他记录
• 域名声誉：高（在顶部）但有一天会下降到中等（当学校放假后开始时）
• 垃圾邮件反馈循环：0%
• 认证流量：100%（DKIM成功率、SPF成功率、DMARC成功率）
• 加密流量：0%（入站 tls 率）
• 交付错误：0%

就像他们只是把它放到垃圾邮件中一样，因为它是他们自己产品的竞争对手。

（出于某种奇怪的原因，当我的孩子去的学校发送消息时，他们会到达我的私人 gmail 收件箱，但不会发送给其他家长）

是时候放弃使用电子邮件并强迫接收者安装应用程序了吗？

我不知道还要做什么来防止邮件进入垃圾邮件。关于做什么的任何建议？

理论问题：当用户从未访问过该页面（与发件人电子邮件地址相同的域名）并收到来自该页面的电子邮件时，谷歌是否不喜欢它？（电子邮件等是从学校收集并由他们注册的）

满足这些技术要求：

• SPF 设置
• DMARC 设置
• DKIM 设置
• IP 反向查找发件人域

只有谷歌将邮件发送到垃圾邮件

TL;博士

如何欺骗我自己的 sendmail 认为电子邮件来自特定的 IP 地址，以便由于 DNSBL 匹配而拒绝该邮件？

细节：

我运行自己的邮件服务器，大多数垃圾邮件都被我添加到 /etc/mail/sendmail.mc 的 DNS 黑名单 (DNSBL) 阻止，如下所示：

dnl FEATURE(`dnsbl',`dnsbl.sorbs.net',`"554 Rejected " $&{client_addr} " found in dnsbl.sorbs.net"')dnl
dnl FEATURE(`dnsbl',`b.barracudacentral.org',`"554 Rejected " $&{client_addr} " found in b.barracudacentral.org"')dnl

今天进来了一些垃圾邮件（通过了所有测试），在检查了MX Toolbox和DNSBL Information之后，可以看到添加几个 DNSBL 中的一个会阻止这个特定的垃圾邮件。

因此，我添加了另一个 DNSBL，现在我想通过将这封电子邮件重新提交到 Sendmail 来对其进行测试，但问题在于：它不会来自正确的 IP 地址，并且 DNSBL 不会认为它很糟糕。

这是我通常会使用的命令：

formail -s /usr/sbin/sendmail -oi -t < testmail.mbox

在我尝试重新发明轮子之前，我想我先在这里问一下。可能的想法：

• 是否有用于发送邮件以伪造源 IP 的 CLI 选项？
• 也许制作一个排队的消息文件并将其直接放入队列中？
• 也许在我的机器上设置另一个IP地址，然后用它发送给自己？
• OpenVPN 或 SSH 隧道会是一个快速解决方案吗？
• 可能可以加载共享库来拦截系统调用，à la LibFakeTime？
• Dtrace 看起来很强大，它可以像这样改变 getsockopt(2) 调用吗？

谢谢！

我们与一家大型公司合作，该公司在每封来自外部（发给他们）的电子邮件前都添加了一个电子邮件标签，其内容如下：

“警告，这封电子邮件来自您的组织外部 - 除非您认出发件人，否则请勿点击任何链接”

我不想完全像这样实现标记，因为我们所有邮件流的 90% 都在我们和这家公司之间。我担心标记会变成被忽略的噪音。（更不用说混乱的电子邮件链）

我想设置的是仅当外部帐户首次向我们的组织发送电子邮件时才适用的标记例如，标记如下所示：

“警告 - 您之前从未收到来自[email protected]的电子邮件- 如果您没有收到此电子邮件，请谨慎行事”

我相信这会更有效。

有谁知道如何做到这一点？我们的环境：

On prem Exhchange 2013 / Proofpoint 垃圾邮件过滤

我已经扫描了所有代码，甚至更改了我的谷歌应用程序帐户的密码，因此 SMTP 密码已更改。但是，垃圾邮件发送者仍在从 [email protected] 发送电子邮件，并且该电子邮件也是网络钓鱼攻击。我不希望我的域被标记为垃圾邮件。

我只通过谷歌的 SMTP 服务器发送电子邮件。我有免费的谷歌应用程序（祖父）。

我相信我有 SPF 记录以及我能做的一切来尝试防止这种情况发生，但它仍在发生。更令人沮丧的是，谷歌给我发电子邮件Delivery Status Notification (Failure)说这些电子邮件无法发送到很多电子邮件，所以它正在向我的企业电子邮件发送垃圾邮件。

我尝试使用谷歌应用程序Reports > Email Log Search查看垃圾邮件发送者是否通过我的 SMTP 发送这些电子邮件，但它总是给出错误No messages found. Please contact the sender for further investigation。但是，我怀疑他们在欺骗并且没有通过我的 SMTP？

我能做些什么来防止这种情况发生？
我无法联系 Google，因为我处于免费的祖父级别

PS：如果查看我的 SPF 记录有帮助，请查看 imvu -e。com

最近我的服务器生成了许多垃圾邮件。我在示例消息中查找了信息，但发件人显然是伪造的，并且消息头中也没有后缀用户 ID。以下是示例消息的完整标头：

root@server:~# postcat -qv 400CB848E9
postcat: name_mask: all
postcat: inet_addr_local: configured 4 IPv4 addresses
postcat: inet_addr_local: configured 2 IPv6 addresses
*** ENVELOPE RECORDS hold/400CB848E9 ***
message_size:            2333             670               1               0            2333               0
message_arrival_time: Thu Jun 24 06:44:46 2021
create_time: Thu Jun 24 06:44:46 2021
named_attribute: log_ident=400CB848E9
named_attribute: rewrite_context=local
sender: [email protected]
named_attribute: log_client_name=localhost.localdomain
named_attribute: log_client_address=127.0.0.1
named_attribute: log_client_port=40070
named_attribute: log_message_origin=localhost.localdomain[127.0.0.1]
named_attribute: log_helo_name=localhost
named_attribute: log_protocol_name=ESMTP
named_attribute: client_name=localhost.localdomain
named_attribute: reverse_client_name=localhost.localdomain
named_attribute: client_address=127.0.0.1
named_attribute: client_port=40070
named_attribute: helo_name=localhost
named_attribute: protocol_name=ESMTP
named_attribute: client_address_type=2
named_attribute: dsn_orig_rcpt=rfc822;[email protected]
original_recipient: [email protected]
recipient: [email protected]
*** MESSAGE CONTENTS hold/400CB848E9 ***
regular_text: Received: from localhost (localhost.localdomain [127.0.0.1])
regular_text:   by dallas.mylocalhostdomain.com (Postfix) with ESMTP id 400CB848E9
regular_text:   for <[email protected]>; Thu, 24 Jun 2021 06:44:46 -0400 (EDT)
regular_text: From: Google Drive Storage <[email protected]>
regular_text: To: [email protected]
regular_text: MIME-Version: 1.0
regular_text: Message-ID: <[email protected]>
regular_text: Date: Thu, 24 Jun 2021 06:44:46 +0000
regular_text: Content-Type: text/html; charset=UTF-8
regular_text: Content-Transfer-Encoding: 7bit
regular_text: Subject: File is damaged and could not be repaired

从头部可以看出，消息的发送者是[email protected]，但是服务器上不存在这个域名/用户。据我所知，我很困惑，用户必须存在于服务器上，然后才能对 SMTP 进行身份验证。此外，mail.log 文件中也没有认证信息。

我希望有人可以帮助指出如何识别生成此消息的真实用户？

谢谢！

我的副业是管理我妻子的公司域。它仅用作 Google 邮件和工具（幻灯片、文档等）的域名。

尽管她多年来一直使用她的域作为电子邮件地址，但没有出现任何问题，但我们显然犯了一个错误，将 Web 部件留给了一个停放的网站。上周，我们的主要客户一家财富 500 强公司更改了他们的垃圾邮件过滤器，她的电子邮件被屏蔽了。提交商业提案需要电子邮件。

http://multirbl.valli.org/lookup/将我们域的每个列表都列为绿色，除了 uribl。uribl 向我们展示了multi和black列表。

我已经提出了除名请求，http ://uribl.com 上非常优秀的人回答说：

状态：拒绝

原因：什么样的企业有一个停放的网页？- 将过期

从未从该域发送过任何垃圾邮件。它没有任何网络服务器被破坏，没有文件传输。它只从她的帐户向少数客户发送了谷歌电子邮件，并且没有受到损害。

我的问题是：在这种情况下，体面的系统管理员会做什么？我试过放一个真正的网站（现在已经上线了），并再次要求退市，但我有一种感觉，那种第一次会用迂腐和修辞的问题拒绝退市的人不会被感动。

从一个合法域发送真正的商业电子邮件的能力真的掌握在一些随机的人手中吗？管理一个小的垃圾邮件黑名单？（我知道这听起来像是在咆哮，我正在努力控制自己的情绪，但这可能是半年薪水的主要风险）

下面是 multirbl.valli.org 的编辑快照，显示了我的详细信息：

编辑：回答@anx，whois 有实际的公司地址、所有者姓名、电话号码等。IP 指向注册商的服务器（仍在使用他们的“建立网站”服务）。[email protected] 被丢弃。与 Google 套件的集成按每个用户计费。我想我会考虑为 [email protected] 付费。

DMARC 我不知道。我想这将是谷歌支持发送电子邮件时的一个问题。没有签名或链接（我们直到昨天才有网站，所以绝对没有必要链接到它；-p）