Назад | Перейти на главную страницу

Amavis / Spamassassin - FORGED_SPF_HELO и SPF_HELO_PASS

У меня есть веб-сервер, который отправляет электронные письма типа веб-формы через Postfix 3.3.0. Входящего нет. Никаких дополнительных услуг.

На принимающем почтовом сервере работает тот же Postfix (но с amavis-new / spamassassin + dovecot / и т. Д.). Оба они находятся в одном домене, но в разных поддоменах (www. И mail.).

Когда тестовое электронное письмо отправляется (с использованием команды postfix sendmail) с веб-сервера на почтовый сервер, все идеально, за исключением оценки на HELO / EHLO. Я продолжаю получать FORGED_SPF_HELO. Я никогда не сталкивался с этим раньше, и документации мало. Однако кажется очевидным, что поиск SPF в HELO не выполняется.

Первоначальный DNS был просто www. как CNAME для записи вершины A.
SPF апекса включает запись «а»: "v=spf1 a mx ~all"

HELO из журнала: helo=www.example.net, Tests:[ALL_TRUSTED=-1,FORGED_SPF_HELO=1,MISSING_HEADERS=1.207,MISSING_SUBJECT=1.767]

Я скорректировал www. record, чтобы это была запись A, и отдельно для нее была добавлена ​​запись SPF TXT.

Теперь я получаю: helo=www.example.net, Tests: [ALL_TRUSTED=-1,FORGED_SPF_HELO=1,MISSING_HEADERS=1.207,MISSING_SUBJECT=1.767,SPF_HELO_PASS=-0.001]

Подделано и прошло?

Главный вопрос:
Может ли кто-нибудь объяснить, почему в первую очередь a в SPF не разрешает CNAME www. пройти? Во-вторых, может ли кто-нибудь объяснить, как можно одновременно «подделать» и «сдать»?

Правило FORGED_SPF_HELO пришло из обновлений Spamassassin. Нажав на папку конфигурации (/var/lib/spamassassin по крайней мере, на Debianoids) вы увидите определение:

meta    FORGED_SPF_HELO     __HELO_NOT_RDNS && SPF_HELO_PASS && !SPF_PASS
header  __HELO_NOT_RDNS     X-Spam-Relays-External =~ /^[^\]]+ rdns=(\S+) helo=(?!\1)\S/
header   SPF_PASS           eval:check_for_spf_pass()
header   SPF_HELO_PASS      eval:check_for_spf_helo_pass()

Вы нарушаете правило __HELO_NOT_RDNS (обратный поиск DNS для хоста www.example.net не является www.example.net) и у вас нет SPF_PASS (хост не уполномочен отправлять электронную почту от имени вашего домена).

Поскольку вы, конечно, не хотите добавлять www.example.net в список вашего официального почтового сервера, настройте его на рассылку писем с отправителями формы user@www.example.net.