У меня есть сервер zimbra 8.7.11 Community Edition, работающий на Ubuntu 14.04.5 LTS.
Этот конкретный почтовый сервер подвергается атаке со стороны домена @ qq.com. Сообщения рандомизируются, так что адрес отправителя и IP-адрес сервера, с которого приходят сообщения, рандомизируются.
Каждое 3-е или 4-е сообщение отправляется, и IP-адрес отправляющего сервера также меняется, поэтому бессмысленно пытаться заблокировать IP-адрес сервера.
Я пытался отклонить сообщения на уровне постфикса, используя этот файл:
/opt/zimbra/conf/postfix_blacklist
формат:
qq.com REJECT
@qq.com REJECT
*@qq.com REJECT
Я побежал postmap /opt/zimbra/conf/postfix_blacklist
потом.
Кажется, это не блокирует и не принимает адреса электронной почты. Этот файл, кажется, смотрит на хост, с которого приходят сообщения.
Итак, я попробовал отредактировать этот файл:
/opt/zibmra/conf/postfix_reject_sender
добавление
qq.com REJECT
@qq.com REJECT
*@qq.com REJECT
затем postmap /opt/zimbra/conf/postfix_reject_sender
Еще несколько тысяч сообщений.
Как лучше всего заблокировать весь домен?
EDIT: вот ссылка pastebin на результаты $ postconf. В конфигурации постфикса было больше символов, чем разрешено здесь, в этом сообщении serverfault.
Я смог исправить это, добавив следующее в конфигурацию zimbra, которая, в свою очередь, обновляет конфигурацию постфикса.
zmprov ms 'yourmailservernamehere' +zimbraMtaSmtpdSenderRestrictions "check_sender_access lmdb:/opt/zimbra/conf/postfix_reject_sender"
После этого соответствующая секция постфикса будет выглядеть так:
smtpd_sender_restrictions = check_sender_access lmdb:/opt/zimbra/conf/postfix_reject_sender, check_sender_access regexp:/opt/zimbra/common/conf/tag_as_originating.re, permit_mynetworks, permit_sasl_authenticated, permit_tls_clientcerts, check_sender_access regexp:/opt/zimbra/common/conf/tag_as_foreign.re
Поскольку я уже создал файл / opt / zibmra / conf / postfix_reject_sender и разместил его на пост-карте, изменения вступят в силу примерно через минуту.
Потом я начал видеть это в /var/log/zimbra.log
Aug 14 16:44:14 zimbra postfix/smtpd[6200]: NOQUEUE: reject: RCPT from unknown[58.52.137.34]: 554 5.7.1 <783029163@qq.com>: Sender address rejected: Access denied; from=<783029163@qq.com> to=<gooduser@ourdomain.com> proto=SMTP helo=<bluegate-group.com>
Последнее, на что следует обратить внимание, это то, что формат для / opt / zimbra / conf / postfix_reject_sender следующий:
baduser@baddomain REJECT
qq.com REJECT
Просто "qq.com REJECT" в postfix_reject_sender заблокировал любой адрес, пришедший с @ qq.com.