В этой статье постараюсь изложить свой опыт по настройки MTA Postfix для максимальной фильтрации спама и нежелательных писем встроенными средствами и средствами модулей Postfix’а. Настройка Amavis, Spamassassin, Clam и т. п. отдельных средств фильтрации спама выходит за рамки данной статьи и я возможно напишу об этом позже.
Входные данные:
- сервер под управлением ОС Debian 7,
- Postfix 2.9.x,
- домен: example.com,
- внешний IP – 222.222.222.222,
- внутренняя сеть – 192.168.1.0/24, 192.168.2.0/24.
Считаю, что постфикс у вас уже настроен в плане авторизации, почтовых ящиков и прочего хозяйства.
Основной файл, где настраивается фильтрация спама, это main.cf
Для начала укажем адреса доверенных сетей с префиксами через “,” – для этих сетей большинство проверок работать не будут дабы не использовать лишние ресурсы:
mynetworks = 127.0.0.0/8, 192.168.1.0/24, 192.168.2.0/24
Далее следуют проверки HELO, т. к. многие спаммеры или пропускают команду SMTP HELO или посылают заведомо неверные данные.
smtpd_delay_reject = yes
smtpd_helo_required = yes
smtpd_helo_restrictions = permit_mynetworks,
permit_sasl_authenticated,
check_helo_access hash:/etc/postfix/helo_access,
reject_non_fqdn_hostname,
reject_invalid_hostname,
permit
1 – включаем проверки HELO и заодно совместимость с некоторыми клиентами
2 – сразу отклоняем письма от отправителей без HELO
3 – цепочка фильтрации HELO:
- разрешить доверенным сетям,
- разрешить авторизованным по sasl (если вы используете sasl)
- проверка хеш-таблицы, которая собержит черный/белый список HELO, в который вы вправе добавить заведомо доверенные или нежелательные домены/адреса, например:
smap.com REJECT SPAM!
some_other_spam.com REJECT SPAM!
234.234.234.234 REJECT Some spam IP
trusted_domain.com OK
example.com REJECT Fake!
222.222.222.222 REJECT Fake!
Последние 2 строчки добавлены т. к. со всех наших сетей доступ уже был разрешен с помощью
mynetworks и, если спаммер выдает себя за нас, то тут его как раз и отфильтрует.
- далее происходит фильтрация заведомо неправильных доменов вроде “MAILSERVER” или “HOST@192.168!aol.com”
- если с HELO письма всё хорошо, то оно проходит в следующую цепочку фильтрации
Также можно добавить перед permit опцию reject_unknown_hostname, но использование ее спорно – она фильтрует письма от доменов, которые не могут быть отрезольвены с помощью DNS. С одной стороны хорошо, а с другой – многие валидные системы имеют проблемы с DNS и их письма будут тоже отклонены.
Протестировать действие этих правил без риска ложных срабатываний можно, вставив в цепочку (до permit, естественно) опцию warn_if_reject – Postfix не будет фильтровать письма, а только писать в лог.
Далее следует цепочка фильтрации по отправителю письма.
smtpd_sender_restrictions =
permit_mynetworks,
permit_sasl_authenticated,
check_sender_access regexp:/etc/postfix/sender_access,
reject_non_fqdn_sender,
reject_unknown_sender_domain,
permit
- вначале как и раньше – разрешаем “нашим” доступ
- проверяем, как и в предыдущем случае, хеш-таблицу с белым/черным списком и “отфутболиваем” отправителей из неправильных и неизвестных доменов
- пропускаем тех, у кого всё Ок с отправителем
Теперь письмо уже имеет достаточно большой шанс быть легитимным и, кстати, большинство спама уже должно быть отфильтровано. Остались наиболее “тяжелые” проверки.
Далее следует проверка по получателю письма:
smtpd_recipient_restrictions =
reject_unauth_pipelining,
reject_non_fqdn_recipient,
reject_unknown_recipient_domain,
permit_mynetworks,
permit_sasl_authenticated,
reject_unauth_destination,
check_recipient_access regexp:/etc/postfix/recipient_access,
check_policy_service inet:127.0.0.1:10023,
check_policy_service unix:private/policy-spf,
permit
- многие спаммеры посылают письма как можно быстрее сериями команд, не дожидаясь ответа – для фильтрации такого спама первая проверка
- далее мы фильтруем неправильные и неизвестные домены
- разрешаем “нашим”
- опция reject_unauth_destination возможно самая важная – без нее наш сервер станет т.н. open relay
- далее следует проверка по хешу блеклиста получателей – полезно добавлять туда даже локальных пользователей, если на их аккаунты сыпятся т. н. баунсы. Пример записи:
something@example.com REJECT This is not real account.
- далее идет прове
рка через внешний сервис т.н. грейлистинга – в данном случае – Postgrey.
- а также проверка Sender Policy Framework (SPF) – он них ниже.
- ну и, конечно же, пропуск далее валидных писем
Теперь последняя цепочка проверок:
smtpd_client_restrictions =
permit_mynetworks,
reject_rbl_client bl.spamcop.net,
reject_rbl_client cbl.abuseat.org,
permit
Здесь мы проверяем адреса отправителя в помощью сервисов черных списков. Дескредитированные IP-адреса, от которых идет спам, заносятся в эти списки. Перед использованием в своем конфиге нужно проверить, работают ли сервисы – иначе будет большая задержка приходящих писем.
Для использования Spamassassin и Amavis необходимо так же добавить строчку:
content_filter = amavis:[127.0.0.1]:10024
Но настройка этих демонов – это тема для отдельной статьи.
Теперь поподробнее о SPF и Greylisting
SPF позволяет владельцу домена указать в TXT-записи, соответствующей имени домена, специальным образом сформированную строку, указывающую список серверов, имеющих право отправлять email-сообщения с обратными адресами в этом домене.
Агенты передачи почты, получающие почтовые сообщения, могут запрашивать SPF-информацию с помощью простого DNS-запроса, верифицируя таким образом сервер отправителя.
Пример SPF-данных в TXT-записи DNS:
example.org. IN TXT “v=spf1 +a +mx -all”
v= определяет используемую версию SPF. Далее следует перечисление механизмов верификации: в данном случае «a» разрешает прием писем от узла, IP-адрес которого совпадает с IP-адресом в A-записи для example.org; «mx» разрешает прием писем, если отправляющий узел указан в одной из MX-записей для example.org. Строка завершается «-all» — указанием того, что сообщения, не прошедшие верификацию с использованием перечисленных механизмов, следует отвергать. Также может использоваться «~all» – в этом случае письмо, не прошедшее верификацию, не должно быть отклонено, но может быть изучено более тщательно (SoftFail).
Этой записи вполне может и не быть, но всё же.
Greylisting — способ автоматической блокировки спама, основанный на том, что «поведение» программного обеспечения, предназначенного для рассылки спама, отличается от поведения обычных серверов электронной почты. Еслипочтовый сервер получателя отказывается принять письмо и сообщает о «временной ошибке», сервер отправителя обязан позже повторить попытку. Спамерское программное обеспечение в таких случаях, обычно, не пытается этого делать.
Установить это хозяйство достаточно просто:
aptitude install postfix-policyd-spf-python postgrey
Затем необходимо добавить в main.cf постфикса, как написано выше:
check_policy_service inet:127.0.0.1:10023, check_policy_service unix:private/policy-spf,
в цепочку smtpd_recipient_restrictions (НО после reject_unauth_destination). Также необходимо добавить в этот файл (лучше в конец) опцию:
policy-spf_time_limit = 3600s
Еще в master.cf необходимо добавить следующее:
