Назад | Перейти на главную страницу

Блокировать входящую почту; разрешить исходящую почту

На нашем сервере размещены различные домены, половина из которых использует Google Apps для своей электронной почты, а другая половина просто не использует учетные записи электронной почты домена. Однако веб-сайты и приложения (например, crons, брандмауэр) на сервере должны отправлять почту. Для этого был установлен постфикс (Ubuntu 10.04). Все работает хорошо.

Однако, анализируя журналы, я вижу, что есть много неудачных входящих писем. В основном потому, что те домены, у которых в данный момент нет почты, все еще имеют некоторые спам-сообщения, отправляемые в их домен. И поскольку DNS указывает на этот сервер, они по-прежнему отображаются здесь, занимая ресурсы и забивая журнал. Итак, несколько вопросов:

  1. Могу ли я просто изменить DNS и удалить записи MX? Я очень опасаюсь, что ИСХОДЯЩИЕ письма будут чаще выходить из строя, поскольку внешние фильтры спама проверяют допустимые записи MX и видят, что эти домены даже не должны отправлять почту. (Я все еще хочу, чтобы они читали @ domain.com при отправке). Или запись SPF должна решить эту проблему?
  2. Должен ли я заменить Postfix чем-то более легким / лучше оборудованным для простой отправки почты? Все программы для входящей почты в настоящее время не используются.
  3. Есть ли другой способ сделать postfix только исходящим и избежать всех этих записей в журнале?

Спасибо!

Вот что бы я сделал:

Для доменов, использующих Google Apps или какую-либо другую стороннюю почтовую службу, настройте записи MX соответствующим образом для почтовой службы этого домена. Мне было бы очень интересно, если бы ваши электронные письма все еще отправлялись на этот сервер, если записи MX для домена указывали в другом месте. Это означало бы некоторую проверку того, какие адреса электронной почты поступают на ваш сервер для дальнейшего исследования.

Для ваших клиентов Google Apps: если вы обнаружите, что ваши исходящие электронные письма (отправленные с сервера через сервер в PHP или каким-либо другим способом) не доставляются на адреса электронной почты, заканчивающиеся в том же домене, что и имя хоста, попробуйте следующее:

Postifx отключить локальную доставку

Примером этого может быть сервер, имя хоста которого getbunch.com может не доставлять электронную почту на jesse@getbunch.com, поскольку считает, что этот адрес должен быть локальным. На самом деле это не местное. Отключение локальной доставки заставит сервер отправить ваше письмо в нужное место.

Для доменов, в которых НЕТ почтовой службы, я бы просто удалил записи MX. Это должно предотвратить отправку писем на сервер для доставки.

Еще вы можете заблокировать порт 25, используя iptables :

/sbin/iptables -A INPUT -p tcp --destination-port 25 -j DROP

Надеюсь, это поможет!

Согласовано. Заблокируйте порт 25 на брандмауэре или на локальном компьютере. Запретить Postfix слушать что-либо, НО локальный адрес обратной петли - тоже хорошая идея.

Давным-давно я использовал небольшую программу, которая просматривала каталог почтового спула и перенаправляла электронное письмо на внешний SMTP-сервер на основе задания cron. Он отлично работал для отправки журналов и других системных сообщений электронной почты и не требовал постоянной работы. Никаких PostFix или Sendmail не требовалось.

Мои возможности Google подводят меня, так как я не могу его найти сейчас. Может тебе повезет больше.