Мы используем postfix в качестве нулевого клиента для отправки почты с веб-сервера php через sendmail. Мы размещаем наши серверы входящей почты в другом месте и используем запись SPF для авторизации сервера на отправку писем из нашего домена. Все это работает.
Теперь я хотел бы усилить постфикс, особенно против эксплуатируемых скриптов PHP, которые рассылают спам. Но проблема в том, что я хочу разрешить отправку электронных писем на любой действительный адрес, поскольку у меня есть веб-формы клиентов, которым нужно иметь возможность получать электронные письма с подтверждением. Я понимаю, что это ограничение ущерба, и это возможно только в определенных пределах.
Что люди предлагают для обнаружения / предотвращения этого? или я должен сосредоточить свои усилия на другом.
Я думал, но еще не пробовал:
Чтобы запретить отправку писем как FROM: домены, с которых я не авторизован. Я нашел, как это настроить, используя smtpd_recipient_restrictions = check_sender_access Будет ли это работать с sendmail на localhost? Стоит ли оно того, если злоумышленник знает, что письма отправляются только с правильным адресом FROM?
Чтобы обнаружить, что localhost отправляет поток электронных писем, отключить его и предупредить меня по электронной почте. Не знаю, как это сделать и возможно ли это вообще.
Я предлагаю вам переместить почтовый сервер на другой компьютер и запретить фактическому веб-серверу связываться через порт 25 с чем-либо, кроме вашего почтового сервера. Это означает, что даже пользовательский спам-бот (который не полагается на какие-либо почтовые функции и использует простые сокеты) не будет работать.
На своем почтовом сервере создайте (виртуальные) учетные записи пользователей для каждого из ваших клиентов хостинга, чтобы вы могли однозначно идентифицировать их, применять ограничения скорости и блокировать их, если они спамят, не блокируя других пользователей на том же сервере.
Наконец установите ПолитикаD и применять как ограничения скорости для каждого клиента, так и проверку исходящей почты на спам, чтобы замедлить потенциальных спамеров и предупредить вас, если исходящая почта выглядит как спам.
Конечно, нет ничего идеального, но эта настройка, по крайней мере, предупредит вас, если исходящая почта будет выглядеть как спам, и будет поддерживать спам относительно медленным из-за ограничений скорости, пока вы не исследуете и (надеюсь) не уничтожите всю учетную запись хостинга.