Các tham số tối ưu được đặt cho Postfix, smtpd_recipient_restrictions,


8

chúng tôi đã thừa hưởng DNS từ một ISP khác và hiện tại máy chủ thư của chúng tôi bị đánh bom bởi khoảng 1000 email mỗi phút, 99,99% các email này chỉ là thư rác. Chúng tôi đang cố gắng tối ưu hóa việc lọc / từ chối thư rác mà không gặp nhiều may mắn.

Ý kiến ​​của bạn về bộ tối ưu là smtpd_recipient_restrictionsgì?

Cấu hình hệ thống: Ubuntu + Amavis + Postfix + MySQL + Fail2Ban-Postfix

Mọi lời khuyên đều được chào đón!

UDPATE, 2012-08-08

Khi thay đổi cấu hình posftix như mọi người và định cấu hình dịch vụ Potrgey, mức độ thư rác bị phân rã 10 lần

smtpd_recipient_restrictions = 
permit_mynetworks, 
permit_sasl_authenticated, 
reject_non_fqdn_hostname, 
reject_invalid_hostname, 
reject_non_fqdn_sender, 
reject_unknown_sender_domain, 
reject_non_fqdn_recipient, 
reject_unknown_recipient_domain, 
check_policy_service inet:127.0.0.1:10023, 
reject_rbl_client zen.spamhaus.org, 
check_recipient_access mysql:/etc/postfix/mysql-virtual_recipient.cf,
reject_unauth_pipelining, 
reject_unauth_destination

nhập mô tả hình ảnh ở đây


1
Tôi muốn mua tên miền đó! Vui lòng đặt một đề nghị.
mailq

Bạn đang cố gắng giải quyết vấn đề gì? Vấn đề của bạn là gì? Bạn chỉ nói rằng bạn từ chối Spam. Nhưng đây không phải là một vấn đề. Đây là một giải pháp.
mailq

@mailq: không có cách nào tôi xin lỗi
Igor

@mailq: ý tưởng là từ chối thư rác hiệu quả hơn, giảm tải hệ thống
Igor

Câu trả lời:


6

Bạn đặt hàng các quy tắc là rất xấu. Nếu bạn muốn giữ tất cả chúng và không thêm bất cứ thứ gì khác, thứ tự phải là:

smtpd_recipient_restrictions = 
permit_mynetworks, 
permit_sasl_authenticated, 
reject_unauth_pipelining, 
reject_invalid_hostname, 
reject_non_fqdn_sender, 
reject_unknown_sender_domain, 
reject_unauth_destination, 
reject_unknown_recipient_domain, 
reject_rbl_client zen.spamhaus.org,
check_recipient_access proxy:mysql:/etc/postfix/mysql-virtual_recipient.cf, 
reject_non_fqdn_recipient

Và nếu điều đó vẫn là chưa đủ thì hãy đọc về postscreentrong http://www.postfix.org/POSTSCREEN_README.html .


xin lỗi nhưng thứ tự có quan trọng hay không? trong một ý nghĩa, postfix xác minh tại "allow_mynetworks" đầu tiên và cuối cùng là "từ chối_non_fqdn_recipient".
Igor

1
Dứt khoát! Vấn đề đặt hàng. Từ trái sang phải (hoặc lên xuống). Như được mô tả trong postfix.org/SMTPD_ACCESS_README.html
mailq

5

Tôi sẽ đề xuất một smtpd_recipient_restriction tương tự như sau:

smtpd_recipient_restricdtions = 
# Whitelisting or blacklisting:
check_recipient_access proxy:mysql:/etc/postfix/mysql-virtual_recipient.cf,
# Everyone should play after rules:
reject_non_fqdn_recipient,
reject_non_fqdn_sender,
reject_unknown_recipient_domain,
reject_unknown_sender_domain,
reject_unauth_pipelining,
# Mails from your users:
permit_mynetworks,
permit_sasl_authenticated,
# This will block mails from domains with no reverse DNS record. Will affect both spam and ham mails, but mostly spam. 
reject_unknown_reverse_client_hostname,
# Instead of reject_unknown_reverse_client_hostname you can also use reject_unknown_client_hostname, which is an even harder rule. 
# Reject ugly HELO/EHLO-hostnames (could also affect regular mails):
reject_non_fqdn_hostname,
reject_invalid_helo_hostname,
# Reject everything you're not responsible for:
reject_unauth_destination,
# Only take mails for existing accounts:
reject_unverified_recipient,
# DNS lookups are "expensive", therefore should be at bottom
reject_rbl_client zen.spamhaus.org

Thông tin chi tiết về smtpd_recipient_restrictions có thể được tìm thấy tại đây: http://www.postfix.org/postconf.5.html#smtpd_recipient_restrictions

Có thể bạn cũng muốn sử dụng postgrey , postscreen , postfwd hoặc một số daemon chính sách khác .

Và cũng kiểm tra xem bạn có đang sử dụng tính năng mới của mình trong chế độ hàng đợi trước hay không.


Thật tệ. Dòng thứ hai chặn thư cho bất kỳ người nhận đi. Vì vậy, bạn không thể gửi thư từ máy chủ của mình ra thế giới bên ngoài. Các truy vấn MySQL đắt như các truy vấn DNS. Vì vậy, bạn cũng nên di chuyển các truy vấn MySQL xuống phía dưới.
mailq
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.