3 votes

peris avatar

Restrictions SMTPD

Demandé el 19 de Mars, 2014
Quand la question a-t-elle été
597 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Je suis à la recherche de conseils sur la configuration des restrictions de Postfix. Je cherche une configuration équilibrée qui rejette correctement le spam et les tentatives d'accès non autorisé.

Dernièrement, j'ai lu quelques documents et j'ai essayé d'apprendre de l'expérience des autres, mais je suis un peu confus quand les restrictions se produisent. Pour l'instant, je suis obligé de définir permit_sasl_authenticated comme première restriction, afin que les utilisateurs authentifiés ne soient pas confrontés à des listes de blocage de spam lorsqu'ils envoient des e-mails à partir de leur application client de messagerie de bureau. Si je supprime cette restriction, les personnes qui envoient des e-mails par le biais d'applications client de messagerie de bureau telles que MS Outlook et qui sont connectées au réseau par ADSL ou derrière des IP dynamiques, sont généralement détectées comme spam.

Je me demande si je n'ai pas manqué quelque chose, car en lisant les configurations, les tutoriels et les documents des autres, je constate qu'ils ne semblent pas souffrir de ce problème. J'ai l'impression d'être le seul.

Je me demande également si je vérifie les bonnes listes de spam à chaque déclaration de restriction.

mynetworks\_style = host

smtpd\_client\_restrictions = 
permit\_sasl\_authenticated,
reject\_rbl\_client sbl.spamhaus.org,
reject\_rbl\_client blackholes.easynet.nl
,reject\_rbl\_client zen.spamhaus.org
,reject\_rbl\_client bl.spamcop.net
,check\_client\_access regexp:/etc/postfix/client\_restrictions

smtpd\_data\_restrictions = reject\_unauth\_pipelining

smtpd\_end\_of\_data\_restrictions =
smtpd\_etrn\_restrictions =

smtpd\_helo\_restrictions = 
permit\_mynetworks,
check\_helo\_access hash:/etc/postfix/helo\_access,
permit\_sasl\_authenticated,
warn\_if\_reject reject\_non\_fqdn\_hostname,
reject\_invalid\_hostname,
permit

smtpd\_recipient\_restrictions =
permit\_sasl\_authenticated,
reject\_unauth\_pipelining,
permit\_mynetworks,
reject\_non\_fqdn\_recipient,
warn\_if\_reject reject\_unknown\_sender\_domain,
reject\_unknown\_recipient\_domain,
reject\_unauth\_destination,
warn\_if\_reject reject\_unknown\_helo\_hostname,
check\_policy\_service inet:127.0.0.1:10023,
check\_policy\_service unix:private/policy-spf,
permit

smtpd\_relay\_restrictions =
permit\_mynetworks,
permit\_sasl\_authenticated,
defer\_unauth\_destination

smtpd\_restriction\_classes =

smtpd\_sender\_restrictions = 
permit\_sasl\_authenticated, 
permit\_mynetworks, 
warn\_if\_reject reject\_non\_fqdn\_sender, 
reject\_unknown\_sender\_domain, 
reject\_unauth\_pipelining, 
permit

Un des problèmes que j'ai rencontré était bl.sorbs.net détecter certaines IP de Microsoft comme étant du spam.

Toutes les astuces et tous les conseils sont les bienvenus.

Demandé el 19 de Mars, 2014 par peris

Réponse

Trop de publicités?

2voto

NickW avatar
NickW Points 10133

Mettez permit_sasl_authenticated users premier ou deuxième est presque toujours la bonne façon de limiter qui peut relayer par votre serveur. Le fait d'avoir un mynetworks est également conseillé pour les systèmes où il n'est pas simple ou réaliste d'effectuer un smtp authentifié. En général, il s'agit de permettre à votre serveur Web de relayer votre serveur de messagerie, et autres situations similaires. Vous pouvez également envisager de placer vos restrictions dans smtpd_recipient_restrictions et utiliser simplement smtpd_helo_restrictions pour rejeter les noms d'hôtes non valides, tout en supprimant également smtpd_client restrictions sauf peut-être pour votre check_client_access table de regex.

Il est inutile de répéter les mêmes restrictions dans plusieurs pays. smtpd_* strophes. Toutes ces options font partie de la conversation SMTP initiale, juste des parties différentes (le client est la connexion, HELO est le message d'accueil, l'expéditeur est le courrier FROM :, le relais et le destinataire sont le RCPT TO :, les données sont le message, end of data est la fin du message). Les répéter ensuite est un gaspillage de cycles.

En ce qui concerne les listes noires, vous avez deux choix, le premier est de faire comme vous le faites maintenant, et de laisser postfix décider d'accepter ou de rejeter les messages en fonction des réponses des BL, en supprimant éventuellement ceux qui causent trop de faux positifs. Deuxièmement, vous pouvez mettre en place quelque chose comme une liste grise, qui rejettera beaucoup de bots "fire and forget" (beaucoup ne réessayent pas), et laisser spamassassin décider si le courrier qui passe est du spam ou non (ces règles peuvent inclure des listes noires). Ce qu'il y a de bien avec spamassassin, c'est que vous pouvez le régler, et le courrier ne sera pas rejeté d'emblée. Cela demande toutefois du temps et de l'attention. Cela signifie également que votre serveur travaillera davantage.

Répondu el 20 de Mars, 2014 par NickW (10133 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X