Как защититься от подмены адреса отправителя?

Question

[Андрей]

Здравствуйте! Есть свой почтовый сервер. Последнее время одолевает спам, потому что:
1) Спамеры отправляют корректный HELO
2) Спамеры имеют PTR и все их хосты существуют и резолвятся
3) IP спамера не находится в черном списке Spamhaus и других DNSRBL
4) Спамеры отправляют письма с существующих адресов на mail.ru, но не с серверов mail.ru

например

Apr 4 11:28:03 server2 postfix/smtpd[27030]: connect from 88.249.121.213.dynamic.ttnet.com.tr[88.249.121.213]
Apr 4 11:28:03 server2 postfix/smtpd[27030]: AEE963C60731: client=88.249.121.213.dynamic.ttnet.com.tr[88.249.121.213]
Apr 4 11:28:04 server2 postfix/cleanup[27079]: AEE963C60731: message-id=<49015596.20160404082144@inbox.ru>
Apr 4 11:28:04 server2 postfix/qmgr[27006]: AEE963C60731: from=propositions83@mail.ru, size=6761, nrcpt=1 (queue active)
Apr 4 11:28:04 server2 postfix/local[27080]: AEE963C60731: to=admin@------.ru, relay=local, delay=0.82, delays=0.71/0.01/0/0.1, dsn=2.0.0, status=sent (delivered to maildir)

так вот собственно вопрос, нет ли у postfix какой нибудь защиты от такого? Например для некоторых доменов (mail.ru) сделать проверку, что эти письма должны быть отправлены только с домена mail.ru (например f323.i.mail.ru будет корректным сервером в данном случае, а 88.249.121.213.dynamic.ttnet.com.tr - нет)

Answer 1

[Андрей]

Спасибо Владу за наводку, решение получилось такое:
1) Подключить к постфиксу проверку SPF
2) Не использовать postfix-policyd-spf-perl, а использовать postfix-policyd-spf-python. Всё дело в том, что у postfix-policyd-spf-python есть файл конфигурации, где как раз-таки можно прописать к каким доменам нужно быть "внимательнее"
Я прописал туда строчку Reject_Not_Pass_Domains = mail.ru,inbox.ru,list.ru,bk.ru,yahoo.com,googlemail.com,gmail.com
Теперь если письмо приходит якобы с этих доменов и не проходит проверку SPF, то эти письма режутся.

Answer 2

[Влад Животнев]

SPF проверяйте.

Comments

[Андрей]

Да, SPF выглядит решением, но только что пришло спам письмо

Apr 5 09:29:55 server2 postfix/smtpd[7011]: connect from 188.subnet118-97-117.static.astinet.telkom.net.id[118.97.117.188]
Apr 5 09:29:56 server2 postfix/policy-spf[7023]: Policy action=PREPEND Received-SPF: softfail (mail.ru ... _spf.mail.ru: Sender is not authorized by default to use 'cheeverpca3@mail.ru' in 'mfrom' identity, however domain is not currently prepared for false failures (mechanism '~all' matched)) receiver=server2; identity=mailfrom; envelope-from="cheeverpca3@mail.ru"; helo="[118.97.117.188]"; client-ip=118.97.117.188
Apr 5 09:29:56 server2 postfix/smtpd[7011]: B1AAB3C60731: client=188.subnet118-97-117.static.astinet.telkom.net.id[118.97.117.188]
Apr 5 09:29:57 server2 postfix/cleanup[7025]: B1AAB3C60731: message-id=<8RNBT2225AU9RQI5G@localhost.localdomain>
Apr 5 09:29:57 server2 postfix/qmgr[6574]: B1AAB3C60731: from=, size=2084, nrcpt=1 (queue active)
Apr 5 09:29:57 server2 postfix/local[7026]: B1AAB3C60731: to=, relay=local, delay=1.3, delays=1.2/0.01/0/0.12, dsn=2.0.0, status=sent (delivered to maildir)
Apr 5 09:29:57 server2 postfix/qmgr[6574]: B1AAB3C60731: removed
Apr 5 09:29:58 server2 postfix/smtpd[7011]: disconnect from 188.subnet118-97-117.static.astinet.telkom.net.id[118.97.117.188]

интересует mechanism '~all' matched. Это у майла проверяется или у нас?

[Влад Животнев]

ivnish: а, ну это mail.ru ссзб уже =) По-хорошему надо -all, а не ~all.