NOVOTS KMS 词汇表 Glossary    联系我们 Contact Us
查询 Search  
   
按类别浏览 Browse by Category
NOVOTS KMS .: 邮件/群件 .: 来自某客户的邮件无法入站的分析报告

来自某客户的邮件无法入站的分析报告

背景:

我们出于安全方面考虑,设置了一条用以防止我们收到伪造的邮件的安全规则:

“当有外部邮件入站时,我们的邮件服务器会查询对方SMTP出站的IP地址是否与其所声明的域名所匹配,有三种判断条件:

1、如果该IP存在PTR记录,且匹配,则放行;

2、如果这个IP地址不存在PTR记录,也放行;

3、如果该IP存在PTR记录,但与其声明的域名不符,则视其为伪造,中断会话。”

国外大多数邮件服务器的IP地址都有PTR记录,xx公司也有,可以增加邮件服务器的可信度。国内的大多数邮件服务器并不正规,没给自己的邮件服务器IP地址设置PTR,因此我们的策略设置出发点是即让服务器设置标准化,又兼容国内外各种情况,还尽可能的保障安全性。

名词解析:

PTR,反向地址解析,查询一个IP地址所对应的域名,与查询一个域名所对应的IP地址的A记录相反。

故障分析:

接下来,咱们根据邮件系统的SMTP日志来分析一下来自customer.com.cn的邮件入站时发生的情况,红色字体是我的解释:

Tue 2010-08-10 15:12:28: Accepting SMTP connection from [1X6.228.143.58:40162] customer.com.cn的邮件服务器使用1X6.228.143.58这个IP地址,要求与邮件服务器进行会话;

Tue 2010-08-10 15:12:28: --> 220-mail..com ESMTP MDaemon 10.1.2; Tue, 10 Aug 2010 15:12:28 +0800邮件服务器接受会话,并给出响应;

Tue 2010-08-10 15:12:28: --> 220 Novots Technologies Limited同上;

Tue 2010-08-10 15:12:29: <-- HELO ws01.customer.com.cncustomer.com.cn邮件服务器向邮件服务器提供自己的主机名称,表示身份;

Tue 2010-08-10 15:12:29: EHLO/HELO response delayed 5 seconds服务器根据安全策略,将该会话延迟5秒后响应;

Tue 2010-08-10 15:12:34: --> 250 mail..com Hello ws01.customer.com.cn, pleased to meet you邮件服务器于5秒后开始向customer.com.cn服务器做出应答;

Tue 2010-08-10 15:12:34: <-- MAIL FROM:<user@customer.com.cn>对方邮件服务器声明这封邮件的发件人;

Tue 2010-08-10 15:12:34: Performing PTR lookup (58.143.228.1X6.IN-ADDR.ARPA)邮件服务器开始反向查询对方的PTR记录;

Tue 2010-08-10 15:12:34: *  D=58.143.228.1X6.IN-ADDR.ARPA TTL=(916) PTR=[customer.com.cn]得出PTR解析结果为customer.com.cn(问题原因,PTR记录设置不对;

Tue 2010-08-10 15:12:34: *  Gathering A records...聚合解析customer.com.cnA记录(用错误的依据,去执行正常的查询);

Tue 2010-08-10 15:12:34: *  D=customer.com.cn TTL=(60) A=[1X6.228.143.1]得到customer.com.cnA记录对应的IP地址1X6.228.143.1(毒花结毒果,导致这个地址与建立会话的“1X6.228.143.58”不匹配);

Tue 2010-08-10 15:12:34: *  MDaemon configured to drop connection on PTR record miss-match系统根据PTR记录和A记录的聚合结果,结合系统策略,得出“PTR存在但不符,既伪造”的结论;

Tue 2010-08-10 15:12:34: ---- End PTR results结束PTR解析;

Tue 2010-08-10 15:12:34: --> 501 Domain must resolve给对方邮件服务器501反馈;

Tue 2010-08-10 15:12:34: SMTP session terminated (Bytes in/out: 59/202)会话结束。

问题原因:

customer.com.cn公司错误的将出站IP地址“1X6.228.143.58”的PTR地址设置为“customer.com.cn”,导致我们邮件服务器查询其PTR后与其A记录聚合时发现不匹配,导致邮件无法入站。正确做法是将出站IP地址“1X6.228.143.58”的PTR记录设置为出站邮件服务器的主机名,比如“ws01.customer.com.cn”,而不是自己的域名“customer.com.cn”。

这个问题很隐蔽,很难发现这种PTR记录设置基本正确但不完整的问题。

解决方案:

建议对方更改PTR记录或出站IP地址,或者干脆就删掉这个记录。因为对于我们服务器以及全球大多数规范的邮件服务器以及防垃圾邮件产品来说,宁愿接受不存在的PTR,也不接受不匹配的PTR

 

 

 

 

 


这篇文章对你多有用?

用户评语

添加评语
当前还没有评语.


.: .: .: .: .:
[ 登陆 ]
北京护航科技有限公司 2006

Novots Technologies Limited