Question Paramètres optimaux définis pour Postfix «smtpd_recipient_restrictions»


nous avons hérité du DNS d'un autre FAI et maintenant notre serveur de messagerie est bombardé d'environ 1000 e-mails par minute. 99,99% de ces e-mails sont uniquement du spam. Nous essayons d'optimiser le filtrage / rejet du spam sans trop de chance.

Quel serait à votre avis l'ensemble optimal pour smtpd_recipient_restrictions?

La configuration du système: Ubuntu + Amavis + Postfix + MySQL + Fail2Ban-Postfix

Tout conseil est le bienvenu!

UDPATE, 2012-08-08

Lors de la modification de la configuration de Posftix comme suit et de la configuration du service Potrgey, le niveau de spam a diminué de 10 fois.

smtpd_recipient_restrictions = 
permit_mynetworks, 
permit_sasl_authenticated, 
reject_non_fqdn_hostname, 
reject_invalid_hostname, 
reject_non_fqdn_sender, 
reject_unknown_sender_domain, 
reject_non_fqdn_recipient, 
reject_unknown_recipient_domain, 
check_policy_service inet:127.0.0.1:10023, 
reject_rbl_client zen.spamhaus.org, 
check_recipient_access mysql:/etc/postfix/mysql-virtual_recipient.cf,
reject_unauth_pipelining, 
reject_unauth_destination

enter image description here


6
2017-09-14 12:13


origine


Je veux acheter ce domaine! S'il vous plaît placer une offre. - mailq
Qu'essayez-vous de résoudre? Quel est votre problème? Vous dites seulement que vous rejetez le spam. Mais ce n'est pas un problème. C'est une solution. - mailq
@mailq: non je suis désolé - Igor
@mailq: l'idée est de rejeter le spam plus efficacement, de réduire les charges système - Igor


Réponses:


Votre ordre de règles est très mal. Si vous voulez les conserver tous et ne rien ajouter, la commande doit être:

smtpd_recipient_restrictions = 
permit_mynetworks, 
permit_sasl_authenticated, 
reject_unauth_pipelining, 
reject_invalid_hostname, 
reject_non_fqdn_sender, 
reject_unknown_sender_domain, 
reject_unauth_destination, 
reject_unknown_recipient_domain, 
reject_rbl_client zen.spamhaus.org,
check_recipient_access proxy:mysql:/etc/postfix/mysql-virtual_recipient.cf, 
reject_non_fqdn_recipient

Et si cela ne suffit toujours pas, lisez à propos de postscreen dans http://www.postfix.org/POSTSCREEN_README.html.


6
2017-09-14 20:38



désolé mais la commande est-elle importante ou non? En un sens, postfix vérifie d'abord "permit_mynetworks" et enfin "rejeter_non_fqdn_recipient". - Igor
Définitivement! L'ordre compte. De gauche à droite (ou de haut en bas). Comme décrit dans postfix.org/SMTPD_ACCESS_README.html - mailq
OK merci beaucoup! - Igor


Je suggérerais un smtpd_recipient_restriction semblable au suivant:

smtpd_recipient_restricdtions = 
# Whitelisting or blacklisting:
check_recipient_access proxy:mysql:/etc/postfix/mysql-virtual_recipient.cf,
# Everyone should play after rules:
reject_non_fqdn_recipient,
reject_non_fqdn_sender,
reject_unknown_recipient_domain,
reject_unknown_sender_domain,
reject_unauth_pipelining,
# Mails from your users:
permit_mynetworks,
permit_sasl_authenticated,
# This will block mails from domains with no reverse DNS record. Will affect both spam and ham mails, but mostly spam. 
reject_unknown_reverse_client_hostname,
# Instead of reject_unknown_reverse_client_hostname you can also use reject_unknown_client_hostname, which is an even harder rule. 
# Reject ugly HELO/EHLO-hostnames (could also affect regular mails):
reject_non_fqdn_hostname,
reject_invalid_helo_hostname,
# Reject everything you're not responsible for:
reject_unauth_destination,
# Only take mails for existing accounts:
reject_unverified_recipient,
# DNS lookups are "expensive", therefore should be at bottom
reject_rbl_client zen.spamhaus.org

Des informations détaillées sur smtpd_recipient_restrictions sont disponibles ici: http://www.postfix.org/postconf.5.html#smtpd_recipient_restrictions

Peut-être que vous voulez aussi utiliser postgrey, postscreen, postfwd ou un autre démon de politique.

Et vérifiez également que vous utilisez votre amavisd-new en mode pré-file d'attente.


3
2017-09-15 08:25



C'est mauvais. La deuxième ligne bloque le courrier pour tout destinataire sortant. Vous n'êtes donc pas en mesure d'envoyer des courriers électroniques de votre serveur au monde extérieur. Les requêtes MySQL sont aussi coûteuses que les requêtes DNS. Donc, vous devriez également déplacer les requêtes MySQL vers le bas. - mailq