Назад | Перейти на главную страницу

Можно ли использовать подстановочные знаки при блокировке поддоменов на сервере Zimbra (постфикс)

У меня есть сервер zimbra 8.7.11 Community Edition, работающий на Ubuntu 14.04.5 LTS.

Иногда отдельные SMTP-серверы из очень больших доменов, таких как yahoo.com или hotmail.com, попадают в списки DNS RBL.

Я пытался внести их серверы в белый список на уровне постфикса, используя этот файл:

/opt/zimbra/conf/postfix_blacklist

Вот пример:

mail-dm3nam03on0060.outbound.protection.outlook.com OK
mail-dm3nam03on0077.outbound.protection.outlook.com OK
mail-oln040092008029.outbound.protection.outlook.com OK
*outbound.protection.outlook.com OK

После этого я запустил postmap / opt / zimbra / conf / postfix_blacklist.

Запись с подстановочными знаками внизу, похоже, не вносит в белый список каждое имя хоста в домене .protection.outlook.com, и существует слишком много фактических имен хостов, чтобы попытаться добавить их в белый список. Обычно мы заносим в белый список, когда замечаем, что хост блокируется, но это скорее реакционный подход, и он кажется не очень эффективным.

Можно ли здесь использовать подстановочные знаки?

Потому что ты бежишь postmap для /opt/zimbra/conf/postfix_blacklist это означает, что это Справочная таблица; postmap создает postfix_blacklist.db который содержит хэши для поиска. Использование хешированных таблиц поиска ускоряет поиск, но не позволяет использовать подстановочные знаки.

С другой стороны, вы должны прочитать Возможности ZCS 8.5, влияющие на Postfix:

Начиная с ZCS8.5 и новее, Postfix связан с LMDB, тем же сервером, который мы используем с OpenLDAP. До ZCS 8.0 Postfix был связан с Berkeley DB.

Согласно этой статье и документация, /opt/zimbra/conf/postfix_blacklist предназначен для внесения IP-адресов в черный список и другого файла, /opt/zimbra/conf/postfix_rbl_override, для внесения IP-адресов в черный список RBL.

  • В postfix_blacklist имеет синтаксис 198.51.100.20 REJECT
  • В postfix_rbl_override имеет синтаксис 198.51.100.20 OK.
  • Оба используют IP-адреса, а не имена хостов, и только один IP-адрес на строку.

Начиная с Zimbra 8.7, вы можете создать черный список с разными адресами и / или доменами (см. Сертифицированный документ Zimbra 8.7 здесь: https://wiki.zimbra.com/wiki/Domain_level_blocking_of_users)

1) с помощью пользователя zimbra создайте файл / opt / zimbra / common / conf / postfix_reject_sender

2) добавьте список отклоненных адресов и доменов, например:

  • user@domain.com ОТКАЗАТЬ
  • domainX.com ОТКАЗАТЬ

    НЕ используйте "*" как подстановочный знак, я пробовал, и он ломает MTA!

3) выполнить zimbraMtaSmtpdSenderRestrictions:

zmprov ms 'yourzimbraservername' + zimbraMtaSmtpdSenderRestrictions "check_sender_access lmdb: / opt / zimbra / common / conf / postfix_reject_sender"

ПРИМЕЧАНИЕ: замените yourzimbraservername на полное доменное имя вашего сервера zimbra.

4) запустите POSTMAP:

/ opt / zimbra / common / sbin / postmap / opt / zimbra / common / conf / postfix_reject_sender

5) чтобы изменения вступили в силу немедленно, вы можете принудительно применить их:

zmmtactl перезапуск

ПРИМЕЧАНИЕ. Многие инструкции в Интернете относятся к Zimbra 8.5 и 8.6. Убедитесь, что инструкции, на которые вы ссылаетесь, действительны для Zimbra 8.7.