如何从 Postfix 向不使用 DKIM 的发件人生成单独的自动回复警告?

如何从 Postfix 向不使用 DKIM 的发件人生成单独的自动回复警告?

如果没有广泛实施,使用 DKIM 和 SPF 的反垃圾邮件/网络钓鱼措施就很弱。我无法启用严格的无 DKIM 拒绝,否则电子邮件将丢失,但对不合规的域名应该进行一些惩罚。即使是中等规模的知名域名/托管公司也缺乏 DKIM,这很令人不安。

我如何才能为不使用 DKIM 的任何发件人建立单独的自动回复(在向频繁发件人发送第二次警告之前会有一些衰减时间)。这将对接收邮件时系统的所有用户有效。

(我或许可以通过我的 MUA 来处理回复中的标头并生成警告,但这仅适用于我手动回复的个人消息,而不适用于我的整个用户域。)

答案1

请不要这样做。尽管如果每个人都使用 DKIM 签名电子邮件会很好,但这不是一个好的实现方法。

大多数自动回复都会发送给不维护邮件系统的用户,因此他们无法对问题采取任何措施。因此,他们可能会感到恼火,或者向您寻求帮助,了解如何使用 DKIM 配置他们的电子邮件(客户端)。您无法回答这个问题。

反而:

  • 联系电子邮件系统管理员。询问他们为什么还没有部署 DKIM,并告诉他们 DKIM 和 DMARC 的优势。
  • 如果您在主题行前面加上[MISSING DKIM; POSSIBLY FORGED]on delivery,则不会发送额外的自动回复。但是,发件人会Re: [MISSING...]在每次实际回复中注意到。

答案2

问题 Esa Jokinen正确指出此类消息不会被合适的受众看到,但这并不意味着这个总体想法完全没有希望。因为您不需要将其作为新消息发送。相反,请将此类请求留在(主要)由关心并能够对该问题采取任何行动. 主要有:

SMTP 扩展状态代码和文本

– 管理人员在试图确定向您发送邮件时出现的问题性质时会浏览的消息。响应你已经发送在每一次垃圾邮件过滤中误报。如果你像许多运营商一样,犯了习惯错误,但仍然不可诉消息,然后开始利用这些空闲空间留下指南(或指南指针)来说明如何缓解这种情况。没有新的闲聊,没有改变接受/拒绝策略,只是改进已经传达的内容,以应对一些不可避免的传入消息。

  1. 缺点:浪费了附加自由格式的能力:

    550 rejected for failing to meet criteria which I wont reveal hahaha

  2. 更好的办法:无条件地用你的链接替换现有文本:

    550-5.7.1 Too similar to previously received junk, Please review
    550 5.7.1 https://support.example/mail/1337 for more information.
    
  3. 幻想:如果你能够有条件地仅在垃圾邮件被拒绝时触发此功能,而没有明显的(同一域,DMARC(已知方)澄清授权,你甚至可以根据对发送方最有可能有帮助的内容包括具体的行动呼吁:

    550-5.7.1 Your system example.com does not appear authorized to
    550-5.7.1 send as example.org - Such messages could still be accepted
    550 5.7.1 if your mail provider configures DKIM for you.
    

如果您有多个垃圾邮件过滤软件 - 请检查您以不可忽略的频率发送的所有相应的否定答案,看它们是否真正使用了更标准化和更有用的文本。只需注意不要将消息与暂时和永久拒绝错误匹配即可。

答案3

我认为不应该完全自动化。拒绝所有未签名的邮件太严格,更改主题也可能很烦人,而且这一次会惹恼你自己的用户。还要考虑当你最终应用这个系统时,各方的压力有多大,也就是您的用户突然无法接收昨天还运行良好的大量邮件,或者很多邮件的主题恰好包含这些垃圾信息。我敢打赌他们会按撤销更改,而不是试图说服他们的同事向他们的管理员施压——这对他们来说是迄今为止最容易明显的解决方案。

您需要逐个考虑每个域,并且可以自动进行统计。在接收端,您可以收集每个发件人域的计数、它向您发送了多少封邮件、其中有多少封邮件似乎是人为的以及有多少反向流量被看到(例如回复)。

然后,您可以选择流量较大的域,并以半自动化方式向其邮件管理员或域所有者发送通知,或者,也许只对这些域应用其他答案中建议的处理,或者只说服与这些域经常交谈的少数用户在其 MUA 中添加通知。这将使整个系统的启动压力更小,通知将得到更直接的处理,同时您不必费心通知系统操作员,因为您只看到了零星的消息而没有任何回复。


更新。从技术上讲,你可以使用类似此解决方案创建通知电子邮件。但同样,我强烈建议您不要向最终用户发送此类通知。他们不关心邮件是否经过 DKIM 签名。电子邮件 RFC 定义了postmaster@<domain>此类通知的地址。

如果来自某个域的电子邮件流量的一部分已签名,而另一部分未签名,我认为根本不值得写信给邮政局长。他们证明他们知道什么是 DKIM,因为他们正在使用它;他们没有对某些邮件使用它这一事实只能说明他们知道自己在做什么,并且这样做是有原因的。如果有 DMARC 政策,您应该遵守它,因为这是他们对问题的看法的体现,而您的通知和解释根本不会有任何用处。

相关内容