我目前正在运行带有 directadmin 和 custombuild 的 centOS 服务器。我不断收到来自正确设置了 SPF 的地址的欺骗性网络钓鱼邮件。
Spamassassin 给它的分数是 1.8,可能是因为该邮件看起来合法,而其他测试综合起来得出的分数是负数。因此负数分数 + SPF 测试分数 = 1.8
在 directadmin 中,您可以通过多种方式阻止邮件,但这是查看发件人地址,而不是欺骗的邮件服务器。
所有邮件均具有以下相同的发送邮件服务器标头:已接收:来自 cm17.websitewelcome.com(cm17.websitewelcome.com [100.42.49.20])由 gateway34.websitewelcome.com(Postfix)发送
IP 地址和子域名都会改变。但如果我能在某个地方屏蔽所有来自 *.websitewelcome.com 的邮件,我的问题就会暂时解决。
我可以在 Postfix 或 Exim 的某个地方阻止这种情况吗?增加 SPF 测试分数值也是一种方法,但这也会标记很多合法邮件
答案1
在 Postfix 中您可以直接阻止它smtpd(8)。
根据http://www.postfix.org/SMTPD_ACCESS_README.html您可以使用
smtpd_client_restrictions - Reject all client commands
有了它你可以(http://www.postfix.org/postconf.5.html#smtpd_client_restrictions)
check_client_access type:table
Search the specified access database for the client hostname, parent domains, client IP address, or networks obtained by stripping least significant octets. See the access(5) manual page for details.
http://www.postfix.org/access.5.html包含示例:
/etc/postfix/main.cf:
smtpd_client_restrictions =
check_client_access hash:/etc/postfix/access
和
/etc/postfix/access:
.websitewelcome.com REJECT
100.42.48.0/20 REJECT
(用于whois查找网络号和掩码)
别忘了打电话postmap(1)
或者你可以在防火墙上阻止整个 IP 网络,例如
sudo iptables -I INPUT --src=100.42.48.0/20 -m tcp -p tcp --dport=25 -j DROP
答案2
防火墙阻止:
iptables -t raw -A PREROUTING -s ${BAD_IP} -j DROP
按标题阻止:
在 /etc/postfix/main.cf 中
header_checks = /etc/postfix/header_checks
在 /etc/postfix/header_checks 中
/From:\ .*baddomain\.tld/ DISCARD BAD AND STINKY DOMAIN
运行这些命令
postmap /etc/postfix/header_checks
systemctl restart postfix