LINUX.ORG.RU
ФорумAdmin

Посоветуйте пакеты для Postfix


1

2

Собрал на Debian почтовую конфигурацию вида Postfix + Dovecot через MySQL
Хотелось бы реализовать следующее:
1. Антивирусник и спам-блокер - статья по которой все делал советует в качестве антивирусника использовать ClamAV, а для борьбы со спамом Razor и SpamAssassin. Посоветовался со знакомым админом - говорит что последний может приводить к потери писем и рекомендует использовать какой то грейлистинг. Что лучше использовать?
2. Адресную книгу - как я понимаю обычно делают это через службу каталогов OpenLDAP, но как мне привязать пользователей с полным их описанием из MySQL?

★★★
Ответ на: комментарий от wolverin

Ну мы используем Postgrey. Спама прорывается немного, нас он вполне устраивает. Иногда приходится конечно руками править whitelist из-за тупых серверов, но это бывает нечасто.

strangeman ★★★★
()

1. Без грейлистинга можно (и нужно) вполне обойтись. От спама он хоть и помогает но не лучшим образом, плюс проблемы с оперативностью доставки вполне «законных» писем. Гораздо правильнее настроить smtpd_sender_restrictions, smtpd_client_restrictions, smtpd_helo_restrictions + smtpd_restriction_classes и black list хостов. При соответствующей настройке, без всяких там грейлистингов, блокируется практически весь спам без ущерба для нормальной переписки.

2. Если оно действительно надо, пили скрипт, который будет по расписанию синхронизировать БД пользователей с адресной книгой.

Geed
()
Ответ на: комментарий от Geed

Geed

1. все равно спам валится сейчас вот так настроено у меня

#Создаем классы:
smtpd_restriction_classes       = verify_sender, rbl_cbl_abuseat_org, rbl_sbl_spamhaus_org, rbl_dul_ru, rbl_spamcop, white_client_ip, black_client_ip, block_dsl, helo_access, white_client, mx_access
#Описание классов:
verify_sender                   = reject_unverified_sender, permit
rbl_cbl_abuseat_org             = reject_rbl_client cbl.abuseat.org
rbl_dul_ru                      = reject_rbl_client dul.ru
rbl_sbl_spamhaus_org            = reject_rbl_client sbl.spamhaus.org
rbl_spamcop                     = reject_rbl_client bl.spamcop.net
#IP адреса, которые нужно пропускать не смотря ни на что
white_client_ip                 = check_client_access pcre:$config_dir/white_client_ip
#IP адреса, которые нужно блокировать не смотря ни на что
black_client_ip                 = check_client_access pcre:$config_dir/black_client_ip
#Правила для блокировки dsl/модемных пулов, с которых подключаются клиенты.
block_dsl                       = regexp:$config_dir/block_dsl
#Соблюдение документа RFC 2821
helo_access                     = check_helo_access pcre:$config_dir/helo_checks
white_client                    = check_sender_access pcre:$config_dir/access_vip_sender
mx_access                       = check_sender_mx_access cidr:$config_dir/mx_access

#Далее restrictions:
#smtpd_recipient_restrictions   = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination

smtpd_client_restrictions       =
                                    white_client_ip,
                                    black_client_ip,
                                    permit_mynetworks,
                                    permit_sasl_authenticated,
                                    reject_unauth_destination,
                                    reject_unauth_pipelining,
                                    helo_access,
                                    block_dsl,
                                    reject_unknown_address,
                                    reject_unknown_recipient_domain,
                                    reject_unknown_sender_domain,
                                    rbl_dul_ru,
                                    rbl_sbl_spamhaus_org,
                                    rbl_spamcop,
                                    rbl_cbl_abuseat_org
smtpd_sender_restrictions       =
                                    white_client,
                                    white_client_ip,
                                    black_client_ip,
                                    reject_authenticated_sender_login_mismatch,
                                    reject_unknown_recipient_domain,
                                    reject_unknown_sender_domain,
                                    reject_non_fqdn_recipient,
                                    reject_non_fqdn_sender,
                                    permit_sasl_authenticated,
                                    permit_mynetworks,
                                    mx_access,
                                    reject_unlisted_sender,
                                    reject_unauth_destination
smtpd_recipient_restrictions    =
                                    white_client,
                                    reject_unknown_recipient_domain,
                                    reject_unknown_sender_domain,
                                    reject_non_fqdn_recipient,
                                    reject_non_fqdn_sender,
                                    reject_unauth_pipelining,
                                    permit_sasl_authenticated,
                                    permit_mynetworks,
                                    helo_access,
                                    reject_unlisted_recipient,
                                    reject_unknown_address,
                                    reject_unauth_destination check_policy_service inet:127.0.0.1:10023,
                                    reject_multi_recipient_bounce
smtpd_data_restrictions         =
                                    reject_unauth_pipelining,
                                    reject_multi_recipient_bounce,
                                    permit

smtp_skip_5xx_greeting          = no

smtpd_reject_unlisted_sender    = yes

smtpd_reject_unlisted_recipient = yes

2. т.е. просто экспорт делать, в принципе вариант

wolverin ★★★
() автор топика
Ответ на: комментарий от wolverin

Бегло помотрев:

  • заменить rbl_cbl_abuseat_org, rbl_sbl_spamhaus_org, rbl_dul_ru, rbl_spamcop на pbl.spamhaus.org, или как минимум добавить его.
  • посмотреть $config_dir/block_dsl на предмет что там за правила
  • для обработки helo_access есть smtpd_helo_restrictions
  • не заметил smtpd_helo_required=yes
  • если white_client, white_client_ip это твои пользователи, то нормально, если это списки откуда вообще должна приниматься почта, то они должны идти после reject_unauth_destination, иначе они смогут отправлять почту не только на ящики пользователей, но и вообще куда угодно.
  • для блокировки «левых» адресов на публичных мейл серверах нужно добавить класс с проверкой соответствия хоста отправителя и MX этого публичного мейла.

Наверняка есть ещё что поправить, но я особо не вникал. В любом случае большая часть успеха это первый и последний пункты.

Geed
()
Ответ на: комментарий от Geed

Geed


1. а чем отличается pbl.spamhaus.org от указанного у меня sbl.spamhaus.org
2. $config_dir/block_dsl

# cat block_dsl
/^dsl.*\..*/i                   553 AUTO_DSL We aren't accept direct connection not from dedicated SMTP servers. Please use your internet provider SMTP Server.
/.*\.dsl\..*/i                  553 AUTO_DSL2 We aren't accept direct connection not from dedicated SMTP servers. Please use your internet provider SMTP Server.
/[a|x]dsl.*\..*\..*/i           553 AUTO_[A|X]DSL We aren't accept direct connection not from dedicated SMTP servers. Please use your internet provider SMTP Server.
/client.*\..*\..*/i             553 AUTO_CLIENT We aren't accept direct connection not from dedicated SMTP servers. Please use your internet provider SMTP Server.
/cable.*\..*\..*/i              553 AUTO_CABLE We aren't accept direct connection not from dedicated SMTP servers. Please use your internet provider SMTP Server.
/pool\..*/i                     553 AUTO_POOL We aren't accept direct connection not from dedicated SMTP servers. Please use your internet provider SMTP Server.
/.*dial(\.|-).*\..*\..*/i       553 AUTO_DIAL We aren't accept direct connection not from dedicated SMTP servers. Please use your internet provider SMTP Server.
/ppp.*\..*/i                    553 AUTO_PPP We aren't accept direct connection not from dedicated SMTP servers. Please use your internet provider SMTP Server.
/dslam.*\..*\..*/i              553 AUTO_DSLAM We aren't accept direct connection not from dedicated SMTP servers. Please use your internet provider SMTP Server.
/dslb.*\..*\..*/i               553 AUTO_DSLB We aren't accept direct connection not from dedicated SMTP servers. Please use your internet provider SMTP Server.
/node.*\..*\..*/i               553 AUTO_NODE We aren't accept direct connection not from dedicated SMTP servers. Please use your internet provider SMTP Server.
/.*\.dynamicIP\..*/i            553 AUTO_DYNAMIC We aren't accept direct connection not from dedicated SMTP servers. Please use your internet provider SMTP Server.
/[ax]dsl.*\..*\..*/i            REJECT Your message looks like SPAM 01
/\.dsl.*\..*\..*/i              REJECT Your message looks like SPAM 02
/cable.*\..*\..*/i              REJECT Your message looks like SPAM 03
/client.*\..*\..*/i             REJECT Your message looks like SPAM 04
/dhcp.*\..*\..*/i               REJECT Your message looks like SPAM 05
/dial.*\..*\..*/i               REJECT Your message looks like SPAM 06
/dialup.*\..*\..*/i             REJECT Your message looks like SPAM 07
/dslam.*\..*\..*/i              REJECT Your message looks like SPAM 08
/node.*\..*\..*/i               REJECT Your message looks like SPAM 09
/pool.*\..*\..*/i               REJECT Your message looks like SPAM 10
/ppp.*\..*\..*/i                REJECT Your message looks like SPAM 11
/user.*\..*\..*/i               REJECT Your message looks like SPAM 12
/[0-9]+-[0-9]+/                 REJECT Invalid hostname (D-D) (dsl)
/(modem|dia(l|lup)|cp[ce]|dsl|p[cp]p|cable|catv|poo(l|les)|pppoe|dhcp|client|customer|user|host|[0-9]{4,})(-|_|\.|[0-9])/ REJECT Invalid hostname (client)

3. т.е. helo_access в smtpd_recipient_restrictions работать не будет?
4. да это ограничение выше у меня было
smtpd_helo_required             = yes
smtp_always_send_ehlo           = yes
disable_vrfy_command            = yes
proxy_read_maps                 = $local_recipient_maps $mydestination $virtual_alias_maps $virtual_alias_domains $virtual_mailbox_maps $virtual_mailbox_domains $relay_recipient_maps $relay_domains $canonical_maps $sender_canonical_maps $recipient_canonical_maps $relocated_maps $transport_maps $mynetworks $virtual_mailbox_limit_maps

5. white_client, white_client_ip - там пусто, я планирую туда записать списки моих серверов из локальной сети и серверов в филиалах если потребуется
6. для этого указано у меня reject_unknown_sender_domain и mx_access
# cat mx_access
127.0.0.1 DUNNO
127.0.0.2 550 Domains not registered properly. Can't assign requested address
0.0.0.0/8 REJECT Domain MX in broadcast network
10.0.0.0/8 REJECT Domain MX in RFC 1918 private network
127.0.0.0/8 REJECT Domain MX in loopback network
169.254.0.0/16 REJECT Domain MX in link local network
172.16.0.0/12 REJECT Domain MX in RFC 1918 private network
192.0.2.0/24 REJECT Domain MX in TEST-NET network
192.168.0.0/16 REJECT Domain MX in RFC 1918 private network
224.0.0.0/4 REJECT Domain MX in class D multicast network
240.0.0.0/5 REJECT Domain MX in class E reserved network
248.0.0.0/5 REJECT Domain MX in reserved network

тем не менее спам может и меньше стал (т.к. почтовый сервер я перенес с другого сервака, настроив с нуля), но он попадал, сейчасть тьфу тьфу тьфу пока тишина, хотя не уверен доходят ли письма от нужных адресов.

wolverin ★★★
() автор топика

Что лучше использовать?

Можно попробовать mailfromd. Конфиг сам является программой обработки, по нужным условиям можно и SpamAssassin, и ClamAV вызвать. С некоторых пор и dspam, правда это бета пока. грейлистинг у него свой, smtp callback тоже свой. SPF есть, но тоже в бете пока только.

AS ★★★★★
()
Ответ на: комментарий от Geed

Без грейлистинга можно (и нужно) вполне обойтись. От спама он хоть и помогает но не лучшим
образом, плюс проблемы с оперативностью доставки вполне «законных» писем.

Так не надо грейлистить всё подряд: это последняя мера, когда не знаешь, уже блокировать, или ещё пропустить.

AS ★★★★★
()
Ответ на: комментарий от Geed

заменить rbl_cbl_abuseat_org, rbl_sbl_spamhaus_org, rbl_dul_ru, rbl_spamcop на pbl.spamhaus.org, или как минимум добавить его.

Неправильно. Вообще убрать. Если хочется их использовать, то, как максимум, через SpamAssassin, в качестве дополнительных весовых коэффициентов.

AS ★★★★★
()
Ответ на: комментарий от AS

заменить rbl_cbl_abuseat_org, rbl_sbl_spamhaus_org, rbl_dul_ru, rbl_spamcop на pbl.spamhaus.org

а что с ними не так???

плюс проблемы с оперативностью доставки вполне «законных» писем.

проблема основная - не потерять, с постргреем потерь не будет???

wolverin ★★★
() автор топика
Ответ на: комментарий от wolverin

1. а чем отличается pbl.spamhaus.org от указанного у меня sbl.spamhaus.org

Вообще-то на spamhaus.org/pbl/ и spamhaus.org/sbl/ расписано. Но если кратко: sbl - список индивидуальных ip, с которых были замечены спам-рассылки, pbl - _диапазоны_ ip адресов которые отведены под клиентские пулы провайдеров, т.е. попытка отправки почты не авторизованным пользователем из этого диапазона - гарантированный привет от спам-бота.

3. т.е. helo_access в smtpd_recipient_restrictions работать не будет?

Правила postfix обрабатывает последовательно одно за другим. Т.е. если он дошёл до smtpd_recipient_restrictions, к helo он уже вернуться никак не может. Поэтому и имеет значение порядок задания правил - reject_unauth_destination хоть и присутствующий, но не в том месте превращает твой сервер в open relay.

5. white_client, white_client_ip - там пусто, я планирую туда записать списки моих серверов из локальной сети и серверов в филиалах если потребуется

Для этого есть mynetworks.

6. для этого указано у меня reject_unknown_sender_domain и mx_access

Это не для этого. Как по этим правилам сопоставить, адрес отправителя vasya@gmail.com, его хост 192.168.0.123.client-pool.provider.ru и MX gmail.com?

Geed
()
Ответ на: комментарий от AS

Неправильно. Вообще убрать. Если хочется их использовать, то, как максимум, через SpamAssassin, в качестве дополнительных весовых коэффициентов.

Да ну? Заменить это как бы и есть убрать. pbl.spamhaus.org должен присутствовать в обязательном порядке. Почему - почитай описание. А вот SpamAssassin это как раз «Неправильно» поскольку контентная фильтрация спама это даже более последняя мера, чем грейлистинг.

Geed
()
Ответ на: комментарий от wolverin

а что с ними не так???

Ничего, кроме того, что контроль за доставкой сообщений полностью отдаётся на сторону. А уже не раз было, что какие-то блэклисты жить прекращали, у каких-то грабли происходили.

AS ★★★★★
()
Ответ на: комментарий от Geed

поскольку контентная фильтрация спама это даже более последняя мера, чем грейлистинг.

Согласен. И внешие bl - аналогично.

AS ★★★★★
()
Ответ на: комментарий от Geed

pbl.spamhaus.org должен присутствовать в обязательном порядке. Почему - почитай описание.

Почитал. Аналог DUL, ничего нового. Ну, может и можно тогда. Но, всё равно, где гарантии правильного ведения этого хозяйства ?

AS ★★★★★
()
Ответ на: комментарий от wolverin

проблема основная - не потерять, с постргреем потерь не будет??

Легко. И это ещё один из минусов грейлистинга. Если на отправляющем сервере стоит reject_unverified_recipient, то он попытается проверить существование адреса на твоем - запрос callback будет задержан - твой postfix вернёт 450 4.2.0 <....>: Client host rejected: Greylisted for ... seconds, а уже сервер отправителя может вернуть пользователю 550-Could not verify sender 550 rejected: cannot route to sender. Гуглить greylist deadlock.

Geed
()
Ответ на: комментарий от Geed

то он попытается проверить существование адреса на твоем - запрос callback будет задержан - твой postfix вернёт 450 4.2.0 <....>: Client host rejected: Greylisted > for ... seconds, а уже сервер отправителя может вернуть пользователю 550-Could not verify sender 550 rejected: cannot route to sender.

1. Сервер, который 4xx воспринимает, как 5xx, это не очень правильный сервер. Мягко говоря. Так что, нормальный сервер повторит процесс через некоторое время и пройдёт грейлистринг. Другой момент, если это в момент отправки пользоывателем проверяется, тогда пользователь увидит ошибку при отправке и может не повторить отправку.
2. Правильный момент включения грейлистинга - в ответ на DATA. Тогда он не помешает каллбэку. Не знаю, можно ли это сделать в постгрее, в mailfromd - можно.

AS ★★★★★
()
Последнее исправление: AS (всего исправлений: 1)
Ответ на: комментарий от AS

Аналог DUL, ничего нового.

А нужно что-то принципиально новое? Важно, что это _актуальная_ база клиентских диапазонов.

Ну, может и можно тогда.

Опять таки, не можно, а нужно, поскольку почту не авторизовано с этих адресов рассылают только боты и полтора совсем уж левых почтовика (но для таких есть whitelist).

Но, всё равно, где гарантии правильного ведения этого хозяйства ?

А ты в одиночку сможешь более правильно и качественно вести подобное хозяйство локально?

Geed
()
Ответ на: комментарий от Geed

А ты в одиночку сможешь более правильно и качественно вести подобное хозяйство локально?

^(.+[-.])?((a|x|l|v|sh|dyn)?dsl|dyn(amic|dsl)?(IP)?|cable|dial-?(in|up)?|ppp(oe)?|dhcp|pool(es)?|user|client|host|static(IP)?)[-._0-9].+

AS ★★★★★
()
Ответ на: комментарий от AS

Сервер, который 4xx воспринимает, как 5xx, это не очень правильный сервер. Мягко говоря.

Да, но ты ведь не можешь серьёзно надеяться, что все сервера с которыми идет обмен сообщениями 100% правильно настроены?

Так что, нормальный сервер повторит процесс через некоторое время и пройдёт грейлистринг.

Да, если время сессии для callback на том сервере больше, чем для greylist на твоём. А если нет?

Правильный момент включения грейлистинга - в ответ на DATA. Тогда он не помешает каллбэку. Не знаю, можно ли это сделать в постгрее, в mailfromd - можно.

mailfromd не видел, но судя по этому - нужно посмотреть.

Geed
()
Ответ на: комментарий от AS

^(.+[-.])?((a|x|l|v|sh|dyn)?dsl|dyn(amic|dsl)?(IP)?|cable|dial-?(in|up)?|ppp(oe)?|dhcp|pool(es)?|user|client|host|static(IP)?)[-._0-9].+

Мне лезть в логи за пруфами или всё же поверишь, что очень многие клиентские хосты, не отлавливающиеся ни этим, ни в два раза более длинным регекспом успешно блокируются через pbl?

Хотя необходимости в такой проверке pbl не отменяет, поскольку обратное тоже верно есть хосты отсутствующие в pbl, но отлавливаемые регекспом.

Geed
()
Ответ на: комментарий от Geed

Да, но ты ведь не можешь серьёзно надеяться, что все сервера с которыми идет обмен сообщениями 100% правильно настроены?

Всё же, это уже проблема «того» сервера.

Да, если время сессии для callback на том сервере больше, чем для greylist на твоём. А если нет?

Каким образом ? RFC 2821 предусматривает величины длительности попыток в днях. А грейлистинг более 1-2 часа делать даже не знаю, кому в голову придти может. :-) Вообще, минут 10-20 более, чем достаточно.

mailfromd не видел, но судя по этому - нужно посмотреть.

Пример конфига с такой реализацией:
http://www.sisyphus.ru/ru/srpm/Sisyphus/mailfromd/sources/0

Тут, кстати, более полный набор регулярных выражений для замены pbl/dul в конце:
http://www.sisyphus.ru/ru/srpm/Sisyphus/mailfromd/sources/3

Только из Сизифа лучше бету не брать (в смысле, если захочется тарбол из rpm-ки отковырять), есть грабля одна не очень приятная, как раз с реакцией 5xx на событие, на которое надо 4xx давать. Использовать или релиз с официального сайта разработчика, или бету из альтового репозитария p6.

AS ★★★★★
()
Ответ на: комментарий от Geed

Мне лезть в логи за пруфами или всё же поверишь, что очень многие клиентские хосты, не
отлавливающиеся ни этим, ни в два раза более длинным регекспом успешно блокируются через pbl?

Зачем ? Верю. Но я так думаю, там найдутся и те, кого следовало бы пропустить.

AS ★★★★★
()
Ответ на: комментарий от AS

Но я так думаю, там найдутся и те, кого следовало бы пропустить.

Как я уже писал

полтора совсем уж левых почтовика (но для таких есть whitelist).

Geed
()
Ответ на: комментарий от Geed

фух, слишком много вопросов по написанным комментариям, позвольте попорядку

Но если кратко: sbl - список индивидуальных ip, с которых были замечены спам-рассылки, pbl - _диапазоны_ ip адресов которые отведены под клиентские пулы провайдеров, т.е. попытка отправки почты не авторизованным пользователем из этого диапазона - гарантированный привет от спам-бота.

исправил на такой вид, это правильно? наверное нет, т.к. rbl_pbl_spamhaus_org надо же пропускать!?

smtpd_restriction_classes       =
                                    rbl_pbl_spamhaus_org,
                                    verify_sender,
                                    rbl_cbl_abuseat_org,
                                    rbl_sbl_spamhaus_org,
                                    rbl_dul_ru, rbl_spamcop,
                                    white_client_ip,
                                    black_client_ip,
                                    block_dsl,
                                    helo_access,
                                    white_client,
                                    mx_access
#Описание классов:
rbl_pbl_spamhaus_org            = reject_rbl_client pbl.spamhaus.org
verify_sender                   = reject_unverified_sender, permit
rbl_cbl_abuseat_org             = reject_rbl_client cbl.abuseat.org
rbl_dul_ru                      = reject_rbl_client dul.ru
rbl_sbl_spamhaus_org            = reject_rbl_client sbl.spamhaus.org
rbl_spamcop                     = reject_rbl_client bl.spamcop.net

smtpd_client_restrictions       =
                                    white_client_ip,
                                    black_client_ip,
                                    permit_mynetworks,
                                    permit_sasl_authenticated,
                                    reject_unauth_destination,
                                    reject_unauth_pipelining,
                                    helo_access,
                                    block_dsl,
                                    reject_unknown_address,
                                    reject_unknown_recipient_domain,
                                    reject_unknown_sender_domain,
                                    rbl_pbl_spamhaus_org
                                    rbl_dul_ru,
                                    rbl_sbl_spamhaus_org,
                                    rbl_spamcop,
                                    rbl_cbl_abuseat_org

wolverin ★★★
() автор топика
Ответ на: комментарий от wolverin

rbl_pbl_spamhaus_org надо же пропускать!?

Можешь кратко пояснить почему ты решил, что его нужно пропускать? У тебя есть класс block_dsl. Считай его дополнением к rbl_pbl_spamhaus_org. Или rbl_pbl_spamhaus_org дополнением к block_dsl. Можешь их даже в конфиге писать рядом, для наглядности.

Geed
()
Ответ на: комментарий от Geed

почему ты решил, что его нужно пропускать?

первый раз все делаю решил что вот из этого

pbl - _диапазоны_ ip адресов которые отведены под клиентские пулы провайдеров

следует такие диапазоны пропускать, а не делать reject.

ок, тогда значит и это должно быть правильно?
исхожу из условий, что mynetworks у меня указан локалхост, а дописывать «белые» адреса серверов из разных сетей я планирую в white_client

smtpd_recipient_restrictions    =
                                    white_client,
                                    reject_unknown_recipient_domain,
                                    reject_unknown_sender_domain,
                                    reject_non_fqdn_recipient,
                                    reject_non_fqdn_sender,
                                    reject_unauth_pipelining,
                                    permit_sasl_authenticated,
                                    permit_mynetworks,
                                    helo_access,
                                    reject_unlisted_recipient,
                                    reject_unknown_address,
                                    reject_unauth_destination check_policy_service inet:127.0.0.1:10023,
                                    reject_multi_recipient_bounce,
                                    rbl_pbl_spamhaus_org

wolverin ★★★
() автор топика
Ответ на: комментарий от wolverin

первый раз все делаю решил что вот из этого

pbl - _диапазоны_ ip адресов которые отведены под клиентские пулы провайдеров

Вообще то, там дальше было написано:

попытка отправки почты не авторизованным пользователем из этого диапазона - гарантированный привет от спам-бота.

Лучше permit_mynetworks и permit_sasl_authenticated переместить ближе к началу, до всех reject - тогда будет меньше вопросов «почему от меня почта не уходит?». И добавь запятую между reject_unauth_destination и check_policy_service, или разнеси на две строки, или и то и другое.

mynetworks у меня указан локалхост, а дописывать «белые» адреса серверов из разных сетей я планирую в white_client

Опять таки почему? mynetworks для того и предназначен, чтобы указывать свои сервера\сети. whitelist для того, чтобы пропускать криво настроенные\висящие на динамических ip почтовики. Но для этого white_client должен стоять после reject_unauth_destination, но до всех reject.

Geed
()
Ответ на: комментарий от Geed

ок итогово имею

smtpd_client_restrictions       =
                                    white_client_ip,
                                    black_client_ip,
                                    permit_mynetworks,
                                    permit_sasl_authenticated,
                                    reject_unauth_destination,
                                    reject_unauth_pipelining,
                                    helo_access,
                                    block_dsl,
                                    reject_unknown_address,
                                    reject_unknown_recipient_domain,
                                    reject_unknown_sender_domain,
                                    rbl_pbl_spamhaus_org,
                                    rbl_dul_ru,
                                    rbl_sbl_spamhaus_org,
                                    rbl_spamcop,
                                    rbl_cbl_abuseat_org
smtpd_sender_restrictions       =
                                    white_client,
                                    white_client_ip,
                                    black_client_ip,
                                    reject_authenticated_sender_login_mismatch,
                                    reject_unknown_recipient_domain,
                                    reject_unknown_sender_domain,
                                    reject_non_fqdn_recipient,
                                    reject_non_fqdn_sender,
                                    permit_sasl_authenticated,
                                    permit_mynetworks,
                                    mx_access,
                                    reject_unlisted_sender,
                                    reject_unauth_destination
smtpd_recipient_restrictions    =
                                    white_client,
                                    permit_sasl_authenticated,
                                    permit_mynetworks,
                                    reject_unknown_recipient_domain,
                                    reject_unknown_sender_domain,
                                    reject_non_fqdn_recipient,
                                    reject_non_fqdn_sender,
                                    reject_unauth_pipelining,
                                    helo_access,
                                    reject_unlisted_recipient,
                                    reject_unknown_address,
                                    reject_unauth_destination,
                                    check_policy_service inet:127.0.0.1:10023,
                                    reject_multi_recipient_bounce,
                                    rbl_pbl_spamhaus_org
smtpd_data_restrictions         =
                                    reject_unauth_pipelining,
                                    reject_multi_recipient_bounce,
                                    permit

чувствую еще косяк у меня в этом

для блокировки «левых» адресов на публичных мейл серверах нужно добавить класс с проверкой соответствия хоста отправителя и MX этого публичного мейла.

не сочтите за наглость уточнить что поконкретней нужно сделать?

Опять таки почему? mynetworks для того и предназначен

хочу 1 раз настроить конфиг и забыть про него, а все дополнительные изменения делать в дополнительных файлах-базах тем более что почтовики в филиалах у меня и есть криво настроеные ))

wolverin ★★★
() автор топика
Ответ на: комментарий от wolverin

smtpd_client_restrictions и smtpd_recipient_restrictions поменял, а чем smtpd_sender_restrictions провинился?

не сочтите за наглость уточнить что поконкретней нужно сделать?

http://www.postfix.ru/viewtopic.php?p=40723 в первом сообщении всё расписано. Это такая локально-костыльная реализация SPF для тех, у кого он не прописан или прописан ~all. Но на самом деле это не лучшая ссылка. На этом же postfix.ru была тема именно про это, более подробная, с приаттаченным списком публичных почтовиков, но сейчас что-то не могу найти. Если найдешь - можешь запостить ссылку тут.

Geed
()
Ответ на: комментарий от Geed

Это хорошо работает в случае, когда почтовик обслуживает 1-2 домена. А когда у вас шаредный сервер с 2k хостов, без грейлистинга (с вайтслистами) становится грустно.

leave ★★★★★
()
Ответ на: комментарий от Geed

Additional IP address ranges are added and maintained by the Spamhaus PBL Team, particularly for networks which are not participating themselves (either because the ISP/block owner does not know about, is proving difficult to contact, or because of language difficulties), and where spam received from those ranges, rDNS and server patterns are consistent with end-user IP space which typically contain high concentrations of «botnet zombies», a major source of spam.

Как всегда: мы вам сделаем хорошо, ведь мы лучше знаем, что вам нужно.

leave ★★★★★
()
Ответ на: комментарий от leave

Это хорошо работает в случае, когда почтовик обслуживает 1-2 домена.

Ну так у ТСа как раз этот случай.

А когда у вас шаредный сервер с 2k хостов,

Никто не спорит, что для своего собственного gmail нужен свой собственный блэкджек, и там только в индивидуальном порядке решается, что лучше. Но топик немного не про 2k хостов.

Geed
()
Ответ на: комментарий от Geed

Кажется, я становлюсь Ъ: второй пункт ОП прочитал только сейчас :)

leave ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.