Оптимальный набор параметров для Postfix «smtpd_recipient_restrictions»
мы унаследовали DNS от другого интернет-провайдера, и теперь на наш почтовый сервер приходит около 1000 писем в минуту, 99,99% этих писем - просто спам. Мы безуспешно пытаемся оптимизировать фильтрацию / отклонение спама.
Какой, на ваш взгляд, оптимальный набор для smtpd_recipient_restrictions?
Конфигурация системы: Ubuntu + Amavis + Postfix + MySQL + Fail2Ban-Postfix
Любые советы приветствуются!
UDPATE, 08.08.2012
При изменении конфигурации posftix и настройке сервиса Potrgey уровень спама снизился в 10 раз.
smtpd_recipient_restrictions =
permit_mynetworks,
permit_sasl_authenticated,
reject_non_fqdn_hostname,
reject_invalid_hostname,
reject_non_fqdn_sender,
reject_unknown_sender_domain,
reject_non_fqdn_recipient,
reject_unknown_recipient_domain,
check_policy_service inet:127.0.0.1:10023,
reject_rbl_client zen.spamhaus.org,
check_recipient_access mysql:/etc/postfix/mysql-virtual_recipient.cf,
reject_unauth_pipelining,
reject_unauth_destination
Ваш порядок правил очень плохой. Если вы хотите сохранить их все и больше ничего не добавлять, порядок должен быть следующим:
smtpd_recipient_restrictions =
permit_mynetworks,
permit_sasl_authenticated,
reject_unauth_pipelining,
reject_invalid_hostname,
reject_non_fqdn_sender,
reject_unknown_sender_domain,
reject_unauth_destination,
reject_unknown_recipient_domain,
reject_rbl_client zen.spamhaus.org,
check_recipient_access proxy:mysql:/etc/postfix/mysql-virtual_recipient.cf,
reject_non_fqdn_recipient
А если и этого недостаточно, читайте о postscreen в http://www.postfix.org/POSTSCREEN_README.html.
Я бы предложил smtpd_recipient_restriction, подобный следующему:
smtpd_recipient_restricdtions =
# Whitelisting or blacklisting:
check_recipient_access proxy:mysql:/etc/postfix/mysql-virtual_recipient.cf,
# Everyone should play after rules:
reject_non_fqdn_recipient,
reject_non_fqdn_sender,
reject_unknown_recipient_domain,
reject_unknown_sender_domain,
reject_unauth_pipelining,
# Mails from your users:
permit_mynetworks,
permit_sasl_authenticated,
# This will block mails from domains with no reverse DNS record. Will affect both spam and ham mails, but mostly spam.
reject_unknown_reverse_client_hostname,
# Instead of reject_unknown_reverse_client_hostname you can also use reject_unknown_client_hostname, which is an even harder rule.
# Reject ugly HELO/EHLO-hostnames (could also affect regular mails):
reject_non_fqdn_hostname,
reject_invalid_helo_hostname,
# Reject everything you're not responsible for:
reject_unauth_destination,
# Only take mails for existing accounts:
reject_unverified_recipient,
# DNS lookups are "expensive", therefore should be at bottom
reject_rbl_client zen.spamhaus.org
Подробную информацию о smtpd_recipient_restrictions можно найти здесь: http://www.postfix.org/postconf.5.html#smtpd_recipient_restrictions
Может быть, ты тоже захочешь использовать Postgrey, постэкран, postfwd или какой-то другой демон политики.
А также убедитесь, что вы используете свой amavisd-new в режиме предварительной очереди.