https://slinkov.ru/openforum/vsluhforumID1/97461.html Коллеги, доброго дня.<br><br>% name -r <br>11.3-RELEASE-p3<br><br>% pkg info &#124; grep postfix-3 <br>postfix-3.3.1_1,1              Secure alternative to widely-used Sendmail<br><br>На мой почтовый сервер приходят письма от аутентифицированного пользователя с пустым обратным адресом и получателем несуществующего почтового домена. В результате, в очереди скапливается огромное число писем и доставить их не представляется возможным.<br>Адрес отправителя проверяется на существование в базе данных(chksender),а затем на соответствие адреса и логина(reject_authenticated_sender_login_mismatch). Проблема в том, что MAIL FROM пустой и эти проверки не работают(smtpd_sender_login_maps), нельзя сформировать запрос к БД (saslsendercheck_query_filter), %s - это адрес отправителя <br>smtpd_sender_restrictions = <br>permit_mynetworks, <br>reject_non_fqdn_sender, <br>check_sender_access hash:$config_directory/db/check_sender_access.hash,<br>reject_authenticated_sender_login_mismatch,<br>reject_unknown_sender_domain<br><br>% cat db/check_sender_access.hash<br> https://slinkov.ru/openforum/vsluhforumID1/97461.html#10 Fri, 20 Sep 2019 04:04:00 GMT Еще вариант набить базу доменов и проверять получателя в нем, делается легко.<br> https://slinkov.ru/openforum/vsluhforumID1/97461.html#9 Thu, 19 Sep 2019 20:39:36 GMT А в чем проблема настучать пользователю, который шлет такие письма с пустым mail from?<br> https://slinkov.ru/openforum/vsluhforumID1/97461.html#8 Fri, 13 Sep 2019 14:39:22 GMT &gt; У меня есть это правило в цепочке проверок, но оно не работает, <br>&gt; домен не задан, MAIL FROM пустой.<br><br>Странно. Возможно, правило в цепочке не на своем месте?<br><br>&gt; Скрипт-то есть, очередь очищается. Он исправляет последствия болезни, но не её причины. <br><br>Причина в некорректных настройках почтовой системы отправителя. Вы эту проблему решать не обязаны.<br> https://slinkov.ru/openforum/vsluhforumID1/97461.html#7 Fri, 13 Sep 2019 11:40:33 GMT &gt; Я должен принимать почту с пустым MAIL FROM, но я ?не обязан? <br>&gt; это делать для несуществующего домена или с отсутствующей MX записью.<br><br>Вы должны _принимать_ почту с пустым MAIL FROM только если вы являетесь конечным получателем этого письма. Пересылать такие письма, если вы не являетесь смартхостом для этого отправителя, вы не должны.<br> https://slinkov.ru/openforum/vsluhforumID1/97461.html#6 Fri, 13 Sep 2019 07:37:17 GMT &gt; Вопросы: <br>&gt; 1. В принципе, как можно выйти из создавшейся ситуации?<br><br>У тя похоже какой-то свой внутренний велосипед, а левая рука не может/не хочет договориться с правой. Морить административных тараканов нужно административными а не техническими средствами.<br><br>&gt; 2. Как отбросить почту аутентифицированного пользователя с пустым адресом отправителя <br><br>reject_unverified_sender<br><br>Reject the request when mail to the MAIL FROM address is known to bounce, or when the sender address destination is not reachable. <br><br>Придется немного покумекать над порядком обработки правил в stmpd_*_restrictions<br><br>&gt; и правильно ли это?<br><br>Только по признаку "пустой mailfrom" - нет, см. выше.<br><br>&gt; 3. reject_unknown_recipient_domain должен проверять MX, но не делает. Почему?<br><br>По определению, выше ответили - не выполняются одновременно оба условия.<br><br><br><br> https://slinkov.ru/openforum/vsluhforumID1/97461.html#5 Fri, 13 Sep 2019 07:05:55 GMT &gt;&gt;&gt;&gt; 1. В принципе, как можно выйти из создавшейся ситуации?<br>&gt;&gt;&gt; Административно повлиять на "аутентифицированного" пользователя - не вариант?<br>&gt;&gt; Можно, но завтра появистя второй, третий и т.д. За всеми не набегаешься.<br>&gt; А не надо бегать. Есть технические стандарты - благоволите соблюдать. Не согласны <br>&gt; - стройте свой интернет с игрищами и блудницами.<br><br>Так я понимаю, он ни чего и не нарушает. <br>Я заблокирую этот домен получателя и дождусь, пока cron забьём им всё дисковое пространство на диске, может быть так до них дойдёт быстрее. <br><br><br>&gt;[оверквотинг удален]<br>&gt;&gt; (delivery temporarily suspended: connect to lk.mydomain.local[x.x.x.35]:25: Operation <br>&gt;&gt; timed out) <br>&gt;&gt; <br>&gt;&gt; <br>&gt;&gt; <br>&gt;&gt; user@lk.mydomain.local <br>&gt;&gt; У меня таких писем в очереди очень много и я пока не <br>&gt;&gt; понимаю, как не принимать письма для домена с несуществующей mx-записью.<br>&gt; Наличие МХ записи не обязательно. В смысле, технически при отсутствии мх отправка <br>&gt; может осуществляться по адресу из А записи, по ориджину домена...<br><br>С https://slinkov.ru/openforum/vsluhforumID1/97461.html#4 Thu, 12 Sep 2019 17:22:33 GMT &gt;&gt;&gt; 1. В принципе, как можно выйти из создавшейся ситуации?<br>&gt;&gt; Административно повлиять на "аутентифицированного" пользователя - не вариант?<br>&gt; Можно, но завтра появистя второй, третий и т.д. За всеми не набегаешься. <br><br>А не надо бегать. Есть технические стандарты - благоволите соблюдать. Не согласны - стройте свой интернет с игрищами и блудницами. <br> <br>&gt;[оверквотинг удален]<br>&gt; в очереди наблюдаю: <br>&gt; F32459CCDE 2506 Thu Sep 12 15:53:32 MAILER-DAEMON <br>&gt; (delivery temporarily suspended: connect to lk.mydomain.local[x.x.x.35]:25: Operation <br>&gt; timed out) <br>&gt; <br>&gt; <br>&gt; <br>&gt; user@lk.mydomain.local <br>&gt; У меня таких писем в очереди очень много и я пока не <br>&gt; понимаю, как не принимать письма для домена с несуществующей mx-записью.<br><br>Наличие МХ записи не обязательно. В смысле, технически при отсутствии мх отправка может осуществляться по адресу из А записи, по ориджину домена...<br>Можно просто не принимать письма от отправителей с несуществующим доменом - reject_unknown_ https://slinkov.ru/openforum/vsluhforumID1/97461.html#3 Thu, 12 Sep 2019 16:54:33 GMT &gt;&gt; 1. В принципе, как можно выйти из создавшейся ситуации?<br>&gt; Административно повлиять на "аутентифицированного" пользователя - не вариант?<br><br>Можно, но завтра появистя второй, третий и т.д. За всеми не набегаешься. <br><br>&gt;&gt; 2. Как отбросить почту аутентифицированного пользователя с пустым адресом отправителя <br>&gt;&gt; и правильно ли это?<br>&gt; Например. с помощью header_check парсить message id, и по нему отбрасывать.<br>&gt; Но сама идея режектить почту с пустым mail from порочна.<br>&gt;&gt; 3. reject_unknown_recipient_domain должен проверять MX, но не делает. Почему?<br>&gt; Потому что &#171;no DNS MX _AND_ no DNS A record &#187; Должны <br>&gt; отсутствовать и MX, и А-записи.<br>&gt; А вообще каша какаято. Что такое "аутентифицированный" пользователь, не вижу намеков на <br>&gt; аутентификацию, как он ее проходит. То mail from пустой, то обратный <br>&gt; адрес. Примеры писем и логи сессии в студию...<br><br>Хорошо, пусть будет так, возможно мы быстрее поймем друг-друга:<br>mydomain.local - Мой домен<br>lk.mydomain.local - Мой поддомен, может быть и чужой, глав https://slinkov.ru/openforum/vsluhforumID1/97461.html#2 Thu, 12 Sep 2019 15:36:16 GMT &gt; 1. В принципе, как можно выйти из создавшейся ситуации?<br><br>Административно повлиять на "аутентифицированного" пользователя - не вариант?<br><br>&gt; 2. Как отбросить почту аутентифицированного пользователя с пустым адресом отправителя <br>&gt; и правильно ли это?<br><br>Например. с помощью header_check парсить message id, и по нему отбрасывать.<br>Но сама идея режектить почту с пустым mail from порочна.<br><br>&gt; 3. reject_unknown_recipient_domain должен проверять MX, но не делает. Почему?<br><br>Потому что &#171;no DNS MX _AND_ no DNS A record &#187; Должны отсутствовать и MX, и А-записи.<br><br>А вообще каша какаято. Что такое "аутентифицированный" пользователь, не вижу намеков на аутентификацию, как он ее проходит. То mail from пустой, то обратный адрес. Примеры писем и логи сессии в студию...<br><br><br><br>