Выяснилось что некоторые сторонние программы, которые отправляют почту, могут отправлять ее с пустым полем from что в принципе разрешается по RFC
Это типично скорее для локальной отправки, если скажем какой-нить демон на wox.upb.kiev.ua задумал отправить отчет о своей работе или что-то служебное и отправляет подобное письмо в Postfix через pipe, соотв. по логу было бы видно, что его принимает и ставит в очередь postfix/pickup, да и то все равно во From был бы честный localpart с именем, соотв. uid данного демона
но тут по логу видно, что письмо было принято от клиента "снаружи" ---> Oct 17 13:33:09 wox postfix/smtpd[25056]: connect from mokka.upb.kiev.ua[10.1.2.8], уже с пустым From: в конверте + по телу это совсем не DSN - вот эти три условия напрягают, т.к. по всей видимости:
-либо где-то на шлюзах до wox.upb.kiev.ua - идет некорректный address rewrite ==> имеем пустой From: в конверте, тогда надо разбираться и фиксить (преполагаю что в настройках Postfix на mokka.upb.kiev.ua )
-либо это реально хитро настроенный MDaemon на Lvov-WP3 ([192.168.22.14]) ?
Причем, это не проделки spamd, т.к.
Oct 17 13:33:09 wox postfix/qmgr[22446]: D90AD3D2C8: from=<>, size=46438, nrcpt=1 (queue active)
Oct 17 13:33:09 wox spamd[17181]: spamd: connection from localhost [127.0.0.1] at port 33256
Oct 17 13:33:09 wox spamd[17181]: spamd: setuid to spam succeeded
Oct 17 13:33:09 wox spamd[17181]: spamd: processing message <MDAEMON-F201310171333.AA3308464pd80005185170@upb.com.ua> for spam:109
Oct 17 13:33:10 wox spamd[17181]: spamd: clean message (-103.0/5.0) for spam:109 in 0.2 seconds, 45810 bytes.
Oct 17 13:33:10 wox spamd[17181]: spamd: result: . -102 - FSL_HELO_NON_FQDN_1,RDNS_NONE,USER_IN_WHITELIST,USER_IN_WHITELIST_TO scantime=0.2,size=45810,user=spam,uid=109,required_score=5.0,rhost=localhost,raddr=127.0.0.1,rport=33256,mid=<MDAEMON-F201310171333.AA3308464pd80005185170@upb.com.ua>,autolearn=no
сейчас придумаем как сделать так, чтобы vaderetro не начиляла лишних баллов для подобных писем, но !
если насчет address rewrite гипотеза имеет место быть, то неплохо было бы тогда разобраться кто конкретно такие конверты формирует, и посмотреть еще лог Postfix с хоста mokka.upb.kiev.ua за интевалы Thu, 17 Oct 2013 с 13.00 - 14.00, или grep по AAD5AC44 + лог с Lvov-WP3 ([192.168.22.14]) за это же время, или хотя бы скинуть данные из логов с Lvov-WP3, о том, какой конверт был там сформирован изначально - это поможет понять на каком hop'е скорее всего идет фокус с From
Сообщение было изменено valya krasnoglazova: 18 Октябрь 2013 - 16:28