Parameter optimal ditetapkan untuk Postfix “smtpd_recipient_restrictions”

8

kami mewarisi DNS dari ISP lain dan sekarang server email kami dibom oleh sekitar 1000 email per menit, 99,99% dari email ini hanya spam. Kami mencoba mengoptimalkan pemfilteran / penolakan spam tanpa hasil.

Menurut pendapat Anda, set optimal untuk apa smtpd_recipient_restrictions?

Konfigurasi sistem: Ubuntu + Amavis + Postfix + MySQL + Fail2Ban-Postfix

Saran apa pun dipersilahkan!

UDPATE, 2012-08-08

Pada perubahan konfigurasi posftix sebagai berikut dan mengkonfigurasi layanan Potrgey tingkat spam membusuk 10 kali

smtpd_recipient_restrictions = 
permit_mynetworks, 
permit_sasl_authenticated, 
reject_non_fqdn_hostname, 
reject_invalid_hostname, 
reject_non_fqdn_sender, 
reject_unknown_sender_domain, 
reject_non_fqdn_recipient, 
reject_unknown_recipient_domain, 
check_policy_service inet:127.0.0.1:10023, 
reject_rbl_client zen.spamhaus.org, 
check_recipient_access mysql:/etc/postfix/mysql-virtual_recipient.cf,
reject_unauth_pipelining, 
reject_unauth_destination

masukkan deskripsi gambar di sini

Igor
sumber
1
Saya ingin membeli domain itu! Silakan mengajukan penawaran.
mailq
Apa yang Anda coba selesaikan? Apa masalahmu? Anda hanya mengatakan bahwa Anda menolak Spam. Tapi ini bukan masalah. Ini solusinya.
mailq
@mailq: tidak mungkin saya minta maaf
Igor
@mailq: idenya adalah untuk menolak spam secara lebih efektif, mengurangi beban sistem
Igor

Jawaban:

6

Pesanan Anda sangat buruk. Jika Anda ingin menyimpan semuanya dan tidak menambahkan yang lain, urutannya harus:

smtpd_recipient_restrictions = 
permit_mynetworks, 
permit_sasl_authenticated, 
reject_unauth_pipelining, 
reject_invalid_hostname, 
reject_non_fqdn_sender, 
reject_unknown_sender_domain, 
reject_unauth_destination, 
reject_unknown_recipient_domain, 
reject_rbl_client zen.spamhaus.org,
check_recipient_access proxy:mysql:/etc/postfix/mysql-virtual_recipient.cf, 
reject_non_fqdn_recipient

Dan jika itu masih belum cukup, baca postscreendi http://www.postfix.org/POSTSCREEN_README.html .

mailq
sumber
maaf tapi apakah pesanan itu penting atau tidak? dalam arti postfix memverifikasi pada awalnya "permit_mynetworks" dan akhirnya "reject_non_fqdn_recipient".
Igor
1
Pasti! Urutan penting. Dari kiri ke kanan (atau atas ke bawah). Seperti dijelaskan dalam postfix.org/SMTPD_ACCESS_README.html
mailq
5

Saya akan menyarankan smtpd_recipient_restriction mirip dengan yang berikut:

smtpd_recipient_restricdtions = 
# Whitelisting or blacklisting:
check_recipient_access proxy:mysql:/etc/postfix/mysql-virtual_recipient.cf,
# Everyone should play after rules:
reject_non_fqdn_recipient,
reject_non_fqdn_sender,
reject_unknown_recipient_domain,
reject_unknown_sender_domain,
reject_unauth_pipelining,
# Mails from your users:
permit_mynetworks,
permit_sasl_authenticated,
# This will block mails from domains with no reverse DNS record. Will affect both spam and ham mails, but mostly spam. 
reject_unknown_reverse_client_hostname,
# Instead of reject_unknown_reverse_client_hostname you can also use reject_unknown_client_hostname, which is an even harder rule. 
# Reject ugly HELO/EHLO-hostnames (could also affect regular mails):
reject_non_fqdn_hostname,
reject_invalid_helo_hostname,
# Reject everything you're not responsible for:
reject_unauth_destination,
# Only take mails for existing accounts:
reject_unverified_recipient,
# DNS lookups are "expensive", therefore should be at bottom
reject_rbl_client zen.spamhaus.org

Informasi terperinci tentang smtpd_recipient_restrictions dapat ditemukan di sini: http://www.postfix.org/postconf.5.html#smtpd_recipient_restrictions

Mungkin Anda juga ingin menggunakan postgrey , postscreen , postfwd atau daemon kebijakan lainnya .

Dan juga periksa, bahwa Anda menggunakan amavisd-baru Anda dalam mode pra-antrian.

sebokopter
sumber
Ini buruk. Baris kedua memblokir email untuk penerima keluar apa pun. Jadi, Anda tidak dapat mengirim email dari server Anda ke dunia luar. Kueri MySQL sama mahalnya dengan kueri DNS. Jadi, Anda juga harus memindahkan pertanyaan MySQL ke bawah.
mailq