Как запретить прощупывание существования пользователей на моём Postfix'e?

Question

[jimani]

Некоторые сервисы валидации мыл -- не **формата** мыл, **а самих мыл** -- пытаются подключиться к валидируемому мылу и проверить, сущесвует ли пользователь:

Подключились, дошли до логина, поняли, что пользователь существует - дело сделано, отключаются.

localhost postfix/smtpd[28911]: NOQUEUE: reject: RCPT from aabbccdd[11.22.33.44]: 550 5.1.1 <non_existing_user@my_domain.com>: Recipient address rejected: User unknown; from=<aa@fdsafdsfsd.com> to=<non_existing_user@my_domain.com> proto=SMTP helo=<something_bla_bla>
    
    localhost postfix/smtpd[28911]: disconnect from aabbccdd[11.22.33.44] helo=1 mail=1 rcpt=0/1 quit=1 commands=3/4

Как это можно контролировать на моём postfix сервере?

То есть, как

а) запретить вот такие прощупывания совсем?

б) как сделать так, чтобы всегда отдавался "да, пользователь существует"? чтобы запутать прощупальщиков

А нормальная аутентификация с паролем и отправка email'ов должна продолжать работать в обычном режиме.

Answer 1

[Rsa97]

Настроить fail2ban

Answer 2

[Дмитрий]

Некоторые почтовые сервера могут так делать проверку адреса отправителя

Answer 3

[CityCat4]

Забить.

Одно время у меня было настроено так, что почта на несуществующих юзеров валилась "юзеру" spamtrap, ящик которого периодически чистился. Но такой финт ушами может принести больше вреда чем пользы, когда обнаружится, что партнеры послали важный документ на адрес менеджера, который вчера уволился и не получив отлупа, стали ждать ответа - а с нашей стороны ессно ничего не было, потому что письмо "принял" spamtrap...

Кроме того, встречная проверка валидности мыла - трюк некоторых антиспамов, например rambler.ru Бывает довольно забавно наблюдать, как почтовик бодается с ним ( а на почтовике greylisting :) )

Comments

[jimani]

>Кроме того, встречная проверка валидности мыла - трюк некоторых антиспамов, например rambler.ru

это как?

[CityCat4]

jimani, Да очень просто. Шлет твой почтовик письмо на zhopa@rambler.ru от имени ruchka@nichego.net, а рамблеровский почтовик говорит ему при приеме - погоди маленько и начинает встречную сессию с твоим - не для того, чтобы что-то передать, а только чтобы выполнить RCPT TO: (ruchka@nichego.net). Если сервер отправки != серверу приема и сервер приема не знает ничего о наличии ящика ruchka@nichego.net например потому что у него smart_host указан в конфиге, которому он передаст письмо в любом случае или сервер приема с greylisting и он говорит на это обращение рамблера - нет, это ты погоди - тут начинается такая санта-барбара, что невозможно сказать, чем оно закончится :)

Answer 4

[Денис]

Запретить такие прощупывания нельзя.
А если честный отправитель ошибся в адресе получателя?
Есть еще проверка отправителя обратным вызовом(10% спама на ней отсеивается).

Comments

[Rsa97]

Есть еще проверка отправителя обратным вызовом

Крайне вредная практика. Представьте, что два сервера начали проверку друг-друга таким способом.

[Денис]

Читающие rfc, знают, что проверка обратным вызовом делается от пустого return-path. Не читающим пишется письмо со стороннего почтового сервера.
За 8 лет поддержки почты было 2 раза.