POSTFIX 有辦法擋來自某mail server relay 來的連線嗎？

postfix main.cf mailog relay server

a8556008 2017-07-28 12:54:54 ‧ 9861 瀏覽

分享至

各位前輩，請教

這幾天突然湧入大量的 email 連線, 從 mailog 那邊看到類似如下：

Jul 27 12:41:22 ms1 postfix/smtpd[31947]: 5B15A23CF5: client=unknown[118.254.144.193]

Jul 27 12:41:22 ms1 postfix/cleanup[33348]: 5B15A23CF5: message-id=<86aa4c365b6bd522@ab9c0622773d23bd>

Jul 27 12:41:22 ms1 postfix/qmgr[31938]: 5B15A23CF5: from=<276945672@qq.com>, size=13414, nrcpt=1 (queue active)

Jul 27 12:41:23 ms1 amavis[33255]: (33255-09) Blocked SPAM {NoBounceInbound,Quarantined}, [118.254.144.193]:50318 [118.254.144.193] <276945672@qq.com> -> <aaa@bbb.com.tw>, quarantine: spam-ZYeZ9mxgKBQT.gz, Queue-ID: 5B15A23CF5, Message-ID: <86aa4c365b6bd522@ab9c0622773d23bd>, mail_id: ZYeZ9mxgKBQT, Hits: 14.83, size: 13412, 1191 ms

Jul 27 12:41:23 ms1 postfix/lmtp[33025]: 5B15A23CF5: to=<aaa@bbb.com.tw>, relay=127.0.0.1[127.0.0.1]:10024, delay=4.7, delays=3.5/0/0/1.2, dsn=2.5.0, status=sent (250 2.5.0 Ok <aaa@bbb.com.tw>, DSN suppressed (554 5.7.0 Boun

Jul 27 12:41:23 ms1 postfix/qmgr[31938]: 5B15A23CF5: removed

Jul 27 12:41:23 ms1 postfix/cleanup[33259]: 594E323CF9: message-id=<20170728044123.594E323CF9@ms1.bbb.com.tw>

Jul 27 12:41:23 ms1 postfix/qmgr[31938]: 594E323CF9: from=<double-bounce@ms1.bbb.com.tw>, size=237, nrcpt=1 (queue active)

Jul 27 12:41:23 ms1 postfix/smtp[32319]: 594E323CF9: to=<2304159926@qq.com>, relay=mx3.qq.com[103.7.30.40]:25, delay=0.49, delays=0.01/0/0.27/0.21, dsn=2.0.0, status=deliverable (250 Ok)

Jul 27 12:41:23 ms1 postfix/qmgr[31938]: 594E323CF9: removed

從不同的email address, 一直寄到伺服器上某 email (aaa@bbb.com.tw), 但幾乎都有個 relay=mx3.qq.com, 那有辦法擋從這個 relay server 來的連線嗎？

這幾天的 maillog 暴增到原本的20倍，真苦惱。先謝謝了！
POSTFIX 版本是: 3.2.2

ayu iT邦好手 2 級 ‧ 2018-11-18 23:41:30 檢舉

都一周年了, 來雞婆一下.
是因為你的Amavisd-new+SpamAssassin在判定是SPAM時會退信, 退給*@qq.com時, MX Record就是mx1,mx2,mx3.qq.com, 且mx3.qq.com優先度最高, 所以你看到一大堆relay=mx3.qq.com ,
這是退/寄信的, 不是來信的!

建議你用 DNSBL 方式來擋, 例如
smtpd_recipient_restrictions =
略
reject_rbl_client psbl.surriel.com,
reject_rbl_client cbl.abuseat.org,

a8556008 iT邦新手 4 級 ‧ 2019-06-08 15:54:29 檢舉

不好意思，現在才看到，我曾經用過 reject_rlb_client , 但好像會產生寄信變的很慢，不知道是不是他都要連結到外部 server 去檢查的關係。

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

2 個回答

msnman

iT邦研究生 1 級 ‧ 2017-07-28 13:22:35

直接用IPtables擋掉就好了。
這個九成是垃圾郵件，不處理掉你的server會被列入黑名單，到時候你的信就都寄不出去了。
建議安裝MailScanner+Spamassassin以過濾垃圾郵件。
最好再安裝smtp驗證功能，沒有開帳號就不能寄信。
http://blog.pmail.idv.tw/?p=599
這是前輩的這置設定。

回應 12
分享
檢舉

看更多先前的回應...收起先前的回應...

a8556008 iT邦新手 4 級 ‧ 2017-07-28 13:37:15 檢舉

您好，
我有裝 Amavisd-new (似乎裡面已包含Spamassassin) 與 clamav, 我有使用 hosts.allow 去 deny 所有來自那個 mx3.qq.com 的主機, 但似乎還是一直寄來? 想透過 smtpd_recipient_restrictions 去限制, 似乎沒有專門對 relay_access 的? 或許是我會錯意？

不過，我目前這樣有被當跳板嗎？

msnman iT邦研究生 1 級 ‧ 2017-07-28 14:05:59 檢舉

有relay就是被當跳板了！
你可以用防火牆iptables去擋IP或網域，你防垃圾有掃嗎？你確定有啟動嗎？你可以安裝mailwatch去檢查執行狀況。
如果貴公司沒有人員在公司外面寄信，那就關閉relay功能。
mynetworks = /etc/postfix/access
加入這一行，並設定access，加入需要relay的網段IP如本機：127.0.0.1 relay

a8556008 iT邦新手 4 級 ‧ 2017-07-28 14:36:46 檢舉

謝謝提醒
我有用以下這個去測試, 所有的項目都是 relay deined.
http://www.mailradar.com/openrelay/

我 mynetworks 目前是指定 127.0.0.0/8, server的真實ip與區域網段ip, 就沒了。

防制垃圾信，應該是有作用, 因為每封信都有加入分數，超過分數的會加 SPAM 到主旨裡，也有在 amavisd.conf 指定的 QUARANTINEDIR 裡看到堆積的 spam or virus.

不知道這樣是否還有遺漏？

msnman iT邦研究生 1 級 ‧ 2017-07-28 14:47:18 檢舉

http://mxtoolbox.com/SuperTool.aspx
用這個網站檢查看看

hon2006 iT邦大師 1 級 ‧ 2017-07-28 14:58:40 檢舉

你有去查 Amavisd-new 的 log 嗎?
你的outlook smtp需要設定帳密才能寄嗎?
建議把所有e-mail的密碼都改掉

msnman iT邦研究生 1 級 ‧ 2017-07-28 15:04:51 檢舉

Jul 27 12:41:23 ms1 postfix/lmtp[33025]: 5B15A23CF5: to=aaa@bbb.com.tw, relay=127.0.0.1[127.0.0.1]:10024, delay=4.7, delays=3.5/0/0/1.2, dsn=2.5.0, status=sent (250 2.5.0 Ok aaa@bbb.com.tw, DSN suppressed (554 5.7.0 Boun
從這條記錄看來，是你的防毒掃到垃圾郵件，然後，進行回覆給寄件者，所以，你應該察看一下你的設定。是不是設定自動回覆給被判定為垃圾郵件的寄件者。

這個做法滿好的，但是會浪費伺服器資源，所以，另一種做法是設一個spam帳號，讓所有被判定垃圾信都寄到這個帳號。然後，就需要人工審核，不然，客戶寄來都收不到也是滿麻煩的。

你只要擋掉118.254.144.193這個IP，他就寄不進來了！
除非他換IP。

a8556008 iT邦新手 4 級 ‧ 2017-07-28 15:21:17 檢舉

TO msnman:
經過剛那網站測試，結果如下：

SMTP Reverse DNS M	ismatch	OK - xxx.xxx.xxx.xxx resolves to ms1.bbb.com.tw, ms2.bbb.com.tw, ms3.bbb.com.tw, ms4.bbb.com.tw
SMTP Valid Hostname	OK - Reverse DNS is a valid Hostname
SMTP Banner Check	OK - Reverse DNS matches SMTP Banner
SMTP TLS		OK - Supports TLS.
SMTP Connection Time	1.175 seconds - Good on Connection time
SMTP Open Relay		OK - Not an open relay.
SMTP Transaction Time	3.679 seconds - Good on Transaction Time


Connecting to xxx.xxx.xxx.xxx

220 ms1.bbb.com.tw ESMTP "Version not available" [971 ms]
EHLO PWS3.mxtoolbox.com
250-ms1.bbb.com.tw
250-PIPELINING
250-SIZE 51200000
250-VRFY
250-ETRN
250-STARTTLS
250-ENHANCEDSTATUSCODES
250-8BITMIME
250-DSN
250 SMTPUTF8 [773 ms]
MAIL FROM:<supertool@mxtoolbox.com>
250 2.1.0 Ok [773 ms]
RCPT TO:<test@example.com>
454 4.7.1 <test@example.com>: Relay access denied [786 ms]

PWS3v2 7046ms

看起來應該沒有，有點小放心一下。

他不是固定這個IP: 118.254.144.193 寄來的, 有很多 client ip 寄來, 只是都是從 mx3.qq.com relay 過來的。