postfix konfigurálás kérdés

Spam, Adathalászat

Hali!

Van egy postfix mail szerver, ami kb. 10 ember levelezését szolgálja ki. Nincs nagy mennyiségű levél (tegnap 1400 bejövő smtp kapcsolat volt összesen, vírusokkal, spammel együtt).

Arra gondoltam, hogy beállítanék DNS alapú blacklistet a jelenlegi greylist és vírus és spamszűrés mellé. Viszont azon gondolkozom, hogy lehet ezt hatékonyan megoldani. Vagy egyáltalán.

Úgy gondolom, az lenne hatékony, ha először persze ellenőrizné, hogy létezik-e az email cím, stb.
Másodjára ugrana a greylist
Harmadjára (ha a greylisten átjutott), jöhente a blacklist
Negyedikként futna le az elemzés.

Jelenleg a fenti a sorrend, kivéve a blacklistet.

Egy kicsit el is akadtam, hogy hogyan konfiguráljam be. Beírtam valami ilyesmit (nem vagyok most épp a gépnél, szóval csak fejből):
smtpd_recipient_restrictions = permit ez az, policy_service localhost:10023, reject_rbl RBL

Na de ez nem jó, mert az első találatnál megáll - az meg a greylist lesz. Akár visszadobja, akár elfogadja, nem megy tovább. Ez nem jó.

Betehetném a blacklist elé - de ezzel megnőne a netes forgalom. Ami levelet újra akarja küldeni a másik oldal, azt legalább kétszer, türelmetlen küldő esetén többször is meg kell nézni.

Nem tudom, hogy ez okozna-e igazából gondot. Lehet, hogy nem, de nem tetszik az ötlet.

Viszont greylist után most csak az az ötletem van, hogy átadom egy új postfix processznek, és így már három lépcsőn menne át.

Az első megkapja a netről, ellenőrzi a szokásos dolgokat, megvizsgálja a greylistet.
Aztán ha minden jó, átadja a másodiknak, ami meg a blacklistet megnézi, és átadja az amavisnak vírusszűrésre és spam keresésre.
Aztán az amavis átadja a harmadiknak, ami minden ellenőrzés nélkül kézbesíti.

Egyfelől nem tetszik az ötlet, hogy kettő helyett most már három postix processz kezén menjen át minden jó levél, másfelől a master.cf-ben nem is tudtam beállítani az smtpd_recipient_restrictions opciónak a policy service-t annak idején (lehet, hogy be lehet, de az összes példa csak main.cf-ben mutatja, és a próbálkozással eljutottam ugyan valameddig, de feladtam).
Gyanítom, hogy az RBL-t is hasonlóan nehezen tudnám betenni a master.cf-be csak a második processzhez.

Szóval a kérdések:
Ti hogyan csináljátok a hasonlót? Más sorrendben? Többször ellenőrizve a feketelistát?
Vagy ügyesen be tudjátok állítani valahogy?

Köszi
G

A rendszer Debian stable, postfix 2.11

  • 2146 megtekintés

( pekob | 2016. 07. 26., k – 19:25 )

Ez biztos? Mármint hogy nem megy tovább a feldolgozás? Tehát, ha egy levelet beenged a greylist, az már nem fut át a blacklist-eken?

Igen, az első találatig megy.

Pl. ezért írták, hogy a régebbi postfix esetén, ahol egyben van a recipient és a relay feltételek ellenőrzése, ott a greylist elé kell tenni a reject_unauth_destination ellenőrzést, mert egyébként véletlenül open relay-t tud készíteni az ember.
A greylist beengedi, a postfix meg nem nézi tovább a listát, hogy ja, nem is ebbe a domain-be küldi, akkor jól visszautasítom, haenm greylist azt mondta, hogy elfogadjuk, akkor jó lesz. Majd továbbítom.

( sj | 2016. 07. 26., k – 20:58 )

egy ertelmes sorrend:

- smtp szintu ellenorzesek, pl. formailag ertelmes envelope cimek, helo name, cimzett letezik-e, stb
- rbl
- greylist
- tartalomszuro

Mivel postfix-ed van, igy van benne postscreen-ed is, igy legyen az a 0. (=legelso) reteg a vedelemben (irtam rola blogot itt a hupon, talald meg, es jo lesz neked)

Aztan az rbl ellenorzest ne az smtpd processzek vegezzek, hanem a postscreen, ld. a hivatkozott blogot.

Egyfelől nem tetszik az ötlet, hogy kettő helyett most már három postix processz kezén menjen át minden jó levél,

ez nagyon elkefelt dizajn...

Többször ellenőrizve a feketelistát?

dafuq?

Vagy ügyesen be tudjátok állítani valahogy?

hat ennel csak ugyesebben lehet :-D

--
"nem tárgyszerűen nézem a dolgot, hanem a vádló szerepéből. Sok bosszúságot okoztak, örülnék ha megbüntetnék őket - tudom gyarló dolog, de hát nem vagyok tökéletes." (BehringerZoltan)