Postfix「smtpd_recipient_restrictions」に設定された最適なパラメータ

8

私たちは別のISPからDNSを継承しており、今やメールサーバーは毎分約1000通のメールで攻撃されており、これらのメールの99.99%は単なるスパムです。私たちはあまり運が悪い状態でスパムのフィルタリング/拒否を最適化しようとしています。

あなたの意見では、最適なセットはsmtpd_recipient_restrictions何でしょうか?

システム構成:Ubuntu + Amavis + Postfix + MySQL + Fail2Ban-Postfix

どんなアドバイスでも大歓迎です!

UDPATE、2012-08-08

後続としてのposftix構成の変更とPotrgeyサービスの構成で、スパムレベルが10倍に減少しました

smtpd_recipient_restrictions = 
permit_mynetworks, 
permit_sasl_authenticated, 
reject_non_fqdn_hostname, 
reject_invalid_hostname, 
reject_non_fqdn_sender, 
reject_unknown_sender_domain, 
reject_non_fqdn_recipient, 
reject_unknown_recipient_domain, 
check_policy_service inet:127.0.0.1:10023, 
reject_rbl_client zen.spamhaus.org, 
check_recipient_access mysql:/etc/postfix/mysql-virtual_recipient.cf,
reject_unauth_pipelining, 
reject_unauth_destination

ここに画像の説明を入力してください

ubuntu  postfix  spam  spam-filter  amavis 
イゴール
ソース
1
そのドメインを購入したい!申し出てください。
mailq
何を解決しようとしていますか?あなたの問題は何ですか?スパムを拒否するとだけ言う。しかし、これは問題ではありません。これが解決策です。
mailq
@mailq:申し訳ありませんが申し訳ありません
Igor
@mailq:アイデアは、より効果的にスパムを拒否し、システムの負荷を減らすことです
Igor

回答:

6

ルールの順序は非常に悪いです。それらすべてを保持し、他に何も追加しない場合は、順序は次のようにする必要があります。

smtpd_recipient_restrictions = 
permit_mynetworks, 
permit_sasl_authenticated, 
reject_unauth_pipelining, 
reject_invalid_hostname, 
reject_non_fqdn_sender, 
reject_unknown_sender_domain, 
reject_unauth_destination, 
reject_unknown_recipient_domain, 
reject_rbl_client zen.spamhaus.org,
check_recipient_access proxy:mysql:/etc/postfix/mysql-virtual_recipient.cf, 
reject_non_fqdn_recipient

それでも不十分な場合はpostscreenhttp://www.postfix.org/POSTSCREEN_README.htmlを参照してください

mailq
ソース
申し訳ありませんが、順序は重要ですか?ある意味で、postfixは最初に「permit_mynetworks」を検証し、最後に「reject_non_fqdn_recipient」を検証します。
イゴール
1
決定的に!順序は重要です。左から右(または上から下)。で説明したようにpostfix.org/SMTPD_ACCESS_README.html
のmailq
5

次のようなsmtpd_recipient_restrictionをお勧めします。

smtpd_recipient_restricdtions = 
# Whitelisting or blacklisting:
check_recipient_access proxy:mysql:/etc/postfix/mysql-virtual_recipient.cf,
# Everyone should play after rules:
reject_non_fqdn_recipient,
reject_non_fqdn_sender,
reject_unknown_recipient_domain,
reject_unknown_sender_domain,
reject_unauth_pipelining,
# Mails from your users:
permit_mynetworks,
permit_sasl_authenticated,
# This will block mails from domains with no reverse DNS record. Will affect both spam and ham mails, but mostly spam. 
reject_unknown_reverse_client_hostname,
# Instead of reject_unknown_reverse_client_hostname you can also use reject_unknown_client_hostname, which is an even harder rule. 
# Reject ugly HELO/EHLO-hostnames (could also affect regular mails):
reject_non_fqdn_hostname,
reject_invalid_helo_hostname,
# Reject everything you're not responsible for:
reject_unauth_destination,
# Only take mails for existing accounts:
reject_unverified_recipient,
# DNS lookups are "expensive", therefore should be at bottom
reject_rbl_client zen.spamhaus.org

smtpd_recipient_restrictionsの詳細については、こちらをご覧くださいhttp ://www.postfix.org/postconf.5.html#smtpd_recipient_restrictions

たぶん、あなたはまた、使用したいpostgreypostscreenpostfwdまたは他のいくつかのポリシー・デーモンを

また、プレキューモードでamavisd-newを使用していることも確認してください。

セボコプター
ソース
これは悪いです。2行目は、すべての送信受信者のメールをブロックします。したがって、サーバーから外部にメールを送信することはできません。MySQLクエリはDNSクエリと同じくらい高価です。したがって、MySQLクエリも一番下に移動する必要があります。
mailq
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.