Restrições de acesso do remetente SMTP do postfix

1

A questão:

Alguns dias atrás enfrentamos um ataque de spam de IP externo que estava usando um domínio externo real para enviar cerca de 7k de email para diferentes domínios externos como yahoo, hotmail, gmail .... etc, que eu tive que bloquear esse ip o firewall manualmente,

  • Como permitir apenas domínios definidos em meu banco de dados mysql "domain" e rejeitar outros (mesmo que fossem reais com registros MX e A), como o comportamento do parâmetro reject_unlisted_sender

Configurações:

- /etc/postfix/main.cf

.....
smtpd_sasl_auth_enable = yes
broken_sasl_auth_clients = yes
smtpd_sasl_authenticated_header = yes
smtpd_sender_restrictions = check_sender_access hash:/etc/postfix/sender_access, reject_unlisted_sender, permit_sasl_authenticated, reject_unknown_sender_domain
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination
transport_maps = proxy:mysql:/etc/postfix/mysql-virtual_transports.cf
...........

- /etc/postfix/master.cf

smtp      inet  n       -       -       -       -       smtpd
smtps     inet  n       -       -       -       -       smtpd
  -o syslog_name=postfix/smtps
  -o smtpd_tls_wrappermode=yes
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
......
127.0.0.1:10025 inet n - - - - smtpd
        -o content_filter=
        -o local_recipient_maps=
        -o relay_recipient_maps=
        -o smtpd_restriction_classes=
        -o smtpd_client_restrictions=
        -o smtpd_helo_restrictions=
        -o smtpd_sender_restrictions=
        -o smtpd_recipient_restrictions=permit_mynetworks,reject
        -o mynetworks=127.0.0.0/8
        -o strict_rfc821_envelopes=yes
        -o receive_override_options=no_unknown_recipient_checks,no_header_body_checks
#        -o smtpd_bind_address=127.0.0.1

Versões:

Meu servidor de e-mails está sendo executado no "Ubuntu 12.04, postfix 2.9.6, courier"

    
por Mohammed Ibrahim 05.02.2017 / 16:47

1 resposta

0

Você tentou o link ? Eu não tentei, mas acho que deveria funcionar.
Também dê uma olhada no link

    
por 05.02.2017 / 23:36

Tags