Мне нужен совет по настройке ограничений Postfix. Я ищу сбалансированную конфигурацию, которая должным образом отклоняет спам и попытки несанкционированного доступа.
В последнее время я читал некоторые документы и пытался учиться на опыте других, но меня немного путают, когда возникают ограничения. Прямо сейчас меня заставляют установить permit_sasl_authenticated в качестве первого ограничения, чтобы аутентифицированные пользователи не соответствовали спискам блокировки спама при отправке электронной почты из своего настольного почтового клиентского приложения. Если я сниму такое ограничение, люди будут отправлять электронную почту через настольные почтовые клиентские приложения, такие как MS Outlook, которые подключены к сети через ADSL или через динамические IP-адреса, что обычно определяется как спам.
Мне интересно, не пропустил ли я что-нибудь, поскольку при чтении других конфигураций, руководств и документов они выглядят так, будто не страдают от этой проблемы. Я чувствую, что я единственный.
Мне также интересно, проверяю ли я правильные списки спама в каждом ограничительном заявлении.
mynetworks_style = host smtpd_client_restrictions = permit_sasl_authenticated, reject_rbl_client sbl.spamhaus.org, reject_rbl_client blackholes.easynet.nl ,reject_rbl_client zen.spamhaus.org ,reject_rbl_client bl.spamcop.net ,check_client_access regexp:/etc/postfix/client_restrictions smtpd_data_restrictions = reject_unauth_pipelining smtpd_end_of_data_restrictions = smtpd_etrn_restrictions = smtpd_helo_restrictions = permit_mynetworks, check_helo_access hash:/etc/postfix/helo_access, permit_sasl_authenticated, warn_if_reject reject_non_fqdn_hostname, reject_invalid_hostname, permit smtpd_recipient_restrictions = permit_sasl_authenticated, reject_unauth_pipelining, permit_mynetworks, reject_non_fqdn_recipient, warn_if_reject reject_unknown_sender_domain, reject_unknown_recipient_domain, reject_unauth_destination, warn_if_reject reject_unknown_helo_hostname, check_policy_service inet:127.0.0.1:10023, check_policy_service unix:private/policy-spf, permit smtpd_relay_restrictions = permit_mynetworks, permit_sasl_authenticated, defer_unauth_destination smtpd_restriction_classes = smtpd_sender_restrictions = permit_sasl_authenticated, permit_mynetworks, warn_if_reject reject_non_fqdn_sender, reject_unknown_sender_domain, reject_unauth_pipelining, permit
Одна проблема, с которой я столкнулся, была bl.sorbs.net определение некоторых IP-адресов Microsoft как спама.
Приветствуются любые подсказки и советы.
Положив permit_sasl_authenticated users Первый или второй - почти всегда правильный способ ограничить круг лиц, которые могут ретранслировать через ваш сервер. Имея подходящий mynetworks Настройка также рекомендуется для тех систем, где выполнение надлежащего аутентифицированного smtp может быть непростым или реалистичным. Обычно это позволяет вашему веб-серверу ретранслировать через ваш почтовый сервер и другие подобные ситуации. Вы также можете посмотреть, как разместить свои ограничения в smtpd_recipient_restrictions и просто используя smtpd_helo_restrictions отклонить недопустимые имена хостов, а также удалить smtpd_client restrictions кроме, может быть, твоего check_client_access таблица регулярных выражений.
Определенно нет смысла повторять одни и те же ограничения в нескольких smtpd_* строфы. Все эти параметры являются частью начального SMTP-диалога, просто разные части (клиент - это соединение, HELO - это приветствие, отправитель - это письмо ОТ :, ретранслятор и получатель - это RCPT TO :, данные - это сообщение, конец данных - конец сообщения) повторять их снова - пустая трата циклов.
Что касается черных списков, у вас есть 2 варианта: во-первых, сделать то, что вы делаете сейчас, и позволить postfix принимать или отклонять сообщения на основе ответов BL, возможно, удаляя те, которые вызывают слишком много ложных срабатываний. Во-вторых, вы можете настроить что-то вроде серых списков, они будут отклонять много сообщений и забывать о ботах (многие не повторяют попытки), и позволять spamassassin принимать решения относительно того, является ли полученная почта спамом или нет (эти правила могут включить черные списки). В spamassassin хорошо то, что вы можете настроить его, и почта не будет отклонена сразу. Однако это требует времени и внимания. Это также означает, что ваш сервер будет работать усерднее.