exim $sender_address_domain ellenőrzése

 ( plt | 2019. március 6., szerda - 9:04 )

Mostanában egyre több olyan spam érkezik ahol a sender_address egy nemlétező domain alatti e-mail cím. (Pl.:

)
A sender ellenőrzésére olyan feltételeket találtam, amik a küldő IP címe és hostneve alapján ellenőriznek, de ezek rendben vannak. Olyat nem találtam, ahol a sender_address_domain értékét lehetne vizsgálni.
Mi erre a jó módszer eximben?

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Látom, nincs nagy forgalom a témában, így megosztom mindazokkal, akiket érdekel, mire jutottam.
1 - Miért is nem szűrünk sender_address_domain-re?
Mert csak egy megadott adat, és nem tény, valamint eléggé eltérő tartalma is lehet a valódi küldő IP címhez képest.
Ráadásul az sem biztos, hogy van egyáltalán tartalma, mivel bounce esetén eléggé üres tud lenni.
2 - Miért szűrünk mégis sender_address_domain-re?
Talán mert csökönyösek vagyunk, vagy mert azt tapasztaljuk, hogy a valódi levélforgalomban általában ez mégis csak egy ellenőrizhető érték, már ha meg van adva.

Az exim a "lookup dnsdb" segítségével tud tetszőleges adatra névfeloldást kérni.
Mivel levelet küldhet MX rekord, de A rekord is, én egy olyan szabállyal ellenőrzöm, ami bármelyik meglétét elfogadja - már, ha van egyáltalán ellenőrizendő adat.

    deny
        message = "Unresolvable sender domain: '$sender_address_domain'
        log_message = "Unresolvable sender domain: '$sender_address_domain'
        condition = ${if and{ {def:sender_address_domain} {!eq{$sender_address_domain}{}} {eq{${lookup dnsdb{>;mxh=$sender_address_domain}}${lookup dnsdb{>;a=$sender_address_domain}}}{}} }{yes}{no}}

Bátortalanabbak tesztelésre a "deny"-t lecserélhetik "warn"-ra, hogy csak a naplóban gyűljön, miket szűrne ki. Én úgy tapasztaltam, hogy a fenti szabály egyetlen false pozitív eredményt sem adott még, de napi több száz spammert azonosított be.
Ha jól emlékszem, több szál is foglalkozott már a .icu, .info és egyéb végű nagytömegű spamek szűrésével. Ez a módszer jó alternatívának tűnik ezek megállítására is, külön feketelisták nélkül.
Mivel még nálam is warn módban fut, ha bárkinek van érdemi gondolata, hogy miért hülyeség mégis, amit összeraktam, azt örömmel fogadom.