restrições de SMTPD

Question

restrições de SMTPD

#1 resposta do (2 votos)

2

Estou procurando um pouco de orientação sobre a configuração das restrições do Postfix. Estou procurando uma configuração balanceada que rejeite propriamente spam e novas tentativas de acesso não autorizado.

Ultimamente, tenho lido alguns documentos e tentando aprender com a experiência de outros, mas estou um pouco confuso quando surgem restrições. No momento, estou sendo forçado a definir permit_sasl_authenticated como primeira restrição, para que os usuários autenticados não correspondam às listas de bloqueio de spam enquanto enviam e-mails do aplicativo cliente de e-mail de área de trabalho. Se eu remover essa restrição, as pessoas que enviarem e-mails por meio de aplicativos cliente de e-mail de desktop, como o MS Outlook e que estiverem conectados à rede por meio de ADSL ou por ips dinâmicos, geralmente são detectadas como spam.

Eu estou querendo saber se eu perdi alguma coisa como quando lendo outros configuração, tutoriais e documentos que parecem não sofrer com esse problema. Eu sinto que sou o único.

Também estou me perguntando se estou verificando as listas de spam corretas em cada instrução de restrição.

mynetworks_style = host

smtpd_client_restrictions = 
permit_sasl_authenticated,
reject_rbl_client sbl.spamhaus.org,
reject_rbl_client blackholes.easynet.nl
,reject_rbl_client zen.spamhaus.org
,reject_rbl_client bl.spamcop.net
,check_client_access regexp:/etc/postfix/client_restrictions

smtpd_data_restrictions = reject_unauth_pipelining

smtpd_end_of_data_restrictions =
smtpd_etrn_restrictions =

smtpd_helo_restrictions = 
permit_mynetworks,
check_helo_access hash:/etc/postfix/helo_access,
permit_sasl_authenticated,
warn_if_reject reject_non_fqdn_hostname,
reject_invalid_hostname,
permit

smtpd_recipient_restrictions =
permit_sasl_authenticated,
reject_unauth_pipelining,
permit_mynetworks,
reject_non_fqdn_recipient,
warn_if_reject reject_unknown_sender_domain,
reject_unknown_recipient_domain,
reject_unauth_destination,
warn_if_reject reject_unknown_helo_hostname,
check_policy_service inet:127.0.0.1:10023,
check_policy_service unix:private/policy-spf,
permit

smtpd_relay_restrictions =
permit_mynetworks,
permit_sasl_authenticated,
defer_unauth_destination

smtpd_restriction_classes =

smtpd_sender_restrictions = 
permit_sasl_authenticated, 
permit_mynetworks, 
warn_if_reject reject_non_fqdn_sender, 
reject_unknown_sender_domain, 
reject_unauth_pipelining, 
permit

Um problema que enfrentei foi bl.sorbs.net detectar alguns IPs da Microsoft como spam.

Qualquer tipo de dicas e conselhos são bem-vindos.

Muito obrigado!

email postfix smtp email-server email-bounces

por user846226 19.03.2014 / 21:26

1 resposta

Tags email postfix smtp email-server email-bounces

HP ProLiant com unidades SATA / SAS Como alterar a interface de escuta do epmd do RabbitMQ (porta 4369)

score 2 · Answer 1

Colocar permit_sasl_authenticated users primeiro ou segundo é quase sempre a maneira correta de limitar quem pode retransmitir pelo seu servidor. Ter uma configuração mynetworks adequada também é aconselhável, para aqueles sistemas em que fazer o smtp autenticado apropriado pode não ser simples ou realista. Geralmente, isso permitirá que o seu servidor seja retransmitido através do seu servidor de e-mail e outras situações semelhantes. Você também pode verificar suas restrições em smtpd_recipient_restrictions e apenas usar smtpd_helo_restrictions para rejeitar nomes de host inválidos, além de remover smtpd_client restrictions , exceto talvez para sua tabela check_client_access regex.

Definitivamente não há sentido em repetir as mesmas restrições em várias estrofes smtpd_* . Todas essas opções são parte da conversação SMTP inicial, apenas partes diferentes (cliente é a conexão, HELO é a saudação, remetente é o correio FROM :, retransmissão e destinatário são os RCPT TO :, dados são a mensagem, fim dos dados é o fim da mensagem) repeti-los novamente depois é um desperdício de ciclos.

Quanto às Listas Negras, você tem duas opções, a primeira é fazer o que está fazendo agora e deixar que o postfix decida aceitar ou rejeitar mensagens com base nas respostas do BL, possivelmente removendo as que causam muitos falsos positivos. Segundo, você pode configurar algo como greylisting, irá rejeitar muito fogo e esquecer bots (muitos não tentam novamente), e deixar spamassassin tomar decisões sobre se o email que passa é spam ou não (essas regras podem incluir listas negras). A coisa boa sobre o spamassassin é que você pode ajustá-lo, e o correio não será rejeitado imediatamente. Leva tempo e atenção no entanto. Isso também significa que seu servidor estará trabalhando com mais afinco.