[Megoldva] Postfix előtét szerver

Linux-haladó

Sziasztok!

Adott egy Exchange szerver, ami a cég levelezését szolgálja ki. Ez marad, de hogy biztonságosabbá tegyem, az az ötletem támadt, hogy teszek elé egy postfix szervert, ami SPAM és vírusszűrné a bejövő leveleket. A problémát az okozza, hogy a postfixnek ugye nincsenek felhasználói, azokat az Exchange-től kéne lekérdeznie és egy cache-ben tárolná a valós címeket. Erre szolgálna a postfix leírása ami a következő linken található:
http://www.postfix.org/ADDRESS_VERIFICATION_README.html
Sajnos meghaladja a képességeimet a dolog, nem működik nekem. Esetleg van valami ötletetek, hogyan oldjam meg? A userek listáját nem szeretném másolgatni.

  • 2824 megtekintés

( freeoli v | 2016. 08. 05., p – 16:59 )

Használj kész eszközt. Pl scrollout F1 ami elég könnyen kezelhető, tanítható és nagyon olcsó.

( wildy | 2016. 08. 05., p – 17:06 )

Tobb lehetoseg is van: LDAP-ot hasznalva a postfix direktben direktben meg tudja kerdezni az AD-tol, hogy letezik-e az adott fiok. Ha ez tul nagy terhelest okozna, akkor kerdezd le idonkent az exchange felhasznalokat, es generalj lokalis adatbazist a postfixnek.

a kettes ha jólemléxem, 5 workert indit default, ezt napi ~120e mail alatt siman le lehet venni 2 workerre, és máris nem eszik annyi erőforrást.
3 worker elég ~200e levélig. meg sokat szamit mi kerul a prehedercheckbe, peldaul ylmf-pc és hasonlókat már itt ki lehet iktatni, sokat spórol az is.

( maszili | 2016. 08. 06., szo – 06:09 )

Sok évvel ezelőtt csináltam ilyet. Emlékeim szerint alapértelmezetten az exchange minden levelet elvesz majd ha nincs olyan postafiók akkor küldi a visszapattanót. Így a postfix-tól is elvesz mindent. Ezt a viselkedést meg lehet változtatni és akkor a postfix is smtp időben eltudja dönteni, hogy az adott postafiók létezik az exchange szerveren vagy sem.

Feljegyzéseim szerint, exchange rcpt ellenőrzés exchange 2003 esetén: 


* Exchange system manager
* Administrative groups
* First administrative group
* Servers
* (szerver neve)
* Protocols
* SMTP
* Default SMTP virtual server (jobbklikk)
* Tulajdonsag
* Advanced (gomb)
* 25 TCP port sorra (edit gomb)
* Apply recipient filter (kipipal)

* Exchange system manager
* Global settings
* Message delivery (jobbklikk)
* Tulajdonsag
* Sender filtering (ful)
* Drop connection if address watches filter (kipipal)

Postfix oldalon a szükséges beállítások...

address_verify_map = btree:/var/lib/postfix/address_verify_map

transport_maps = hash:/etc/postfix/map/transport_map
proba1.hu smtp:exchange_ip:25
proba2.hu smtp:exchange_ip:25

relay_domains = hash:/etc/postfix/map/relay_domains_map
proba1.hu OK
proba2.hu OK

mert baratunk kb. a lenyeget hagyta ki: ldap query az AD fele, hogy megnezze, az adott virtual mailbox letezik-e. A virtual domainek lehetnek akar egy hash map-ben lokalisan is, gondolom, nem valtozik surun. Tehat eleve virtual mailbox-okat, alias-okat kene konfiguralnod...

--
"nem tárgyszerűen nézem a dolgot, hanem a vádló szerepéből. Sok bosszúságot okoztak, örülnék ha megbüntetnék őket - tudom gyarló dolog, de hát nem vagyok tökéletes." (BehringerZoltan)

( djsilas | 2016. 08. 06., szo – 09:10 )

+1 Scrolloutra,
-1 arra, hogy hasznalja. Hagyja hozzaertore, bizza szakemberre, tanuljon otthon a kerdezo elesben probalkozas helyett... :/

mar miert nem? El sem jut az mta-ig. Nyilvan csak jo minosegu rbl-t erdemes, opcionalisan DUL listakat.

--
"nem tárgyszerűen nézem a dolgot, hanem a vádló szerepéből. Sok bosszúságot okoztak, örülnék ha megbüntetnék őket - tudom gyarló dolog, de hát nem vagyok tökéletes." (BehringerZoltan)

Azt hittem ezen már túl vagyunk, azaz voltunk párszor itt. Tetszőleges minőségű listára fel fog kerülni a nagybecsű ügyfél és verni fogják az ajtót, hogy a hiperfontos levél nem jön meg. Naponta 20x pedig nincs kapacitás emailt nyomozni és írkálni, hogy hát a kedves feladó listán van, oldják meg ők.

nem ugy van az. Egyreszt dul listarol aligha fog legitim level jonni, tehat azt imho biztonsagosan el lehet dobalni mar a tuzfalon. A minosegi rbl valoban oximoronnak tunik, kiveve, ha magad allitod ossze, pl. spamtrap-re kuldo gyokerekkel, amit kezzel is kiegeszithetsz, pl. gruppi, pwm0.com, mediacenter, levelcenter, smtp.hu es mas szarokkal...

--
"nem tárgyszerűen nézem a dolgot, hanem a vádló szerepéből. Sok bosszúságot okoztak, örülnék ha megbüntetnék őket - tudom gyarló dolog, de hát nem vagyok tökéletes." (BehringerZoltan)

Egyrészt igazad van.
Több régebbi témánál kiderült, hogy sokan az rbl listákat súlyozás nélkül használják tiltásra. Akkor már miért ne a tűzfal (is) szűrjön, ahol sokkal kevesebb erőforrás mellett megoldható a szűrés. (A log hiánya persze gond lehet.)
Hokuszpk ASSP statisztikájából az látszik, hogy a levelek 93%-át eldobják. Ahol ilyen arányban dobálja el a leveleket a spam szűrő, ott megint beleférhet, ha netán éves szinten elutasít pár fontos levelet pluszba (vagy az ASSP helyet). Nincsen mindenhol túlméretezett hardver a spam szűrő alatt. Ésszel használva hasznosnak gondolom. Tapasztalat alapján az alapértelmezetten megadott listák is megbízhatóak.
Volt már pár ömlik a spam sírás. Náluk is jó szolgálatot tehet egy ilyen percek alatt telepíthető szűrés, amíg nem oldódik meg a probléma.

ASSP mellett használjuk évek óta. Nem tudok olyan meg nem érkezett levélről, amit a tűzfal szűrt volna ki. Az a pár levél, amivel probléma szokott lenni, azokról mindig kiderül, hogy az ASSP durván kipontozta, és azért került elutasításra.

Ráadásul ha már van ipset, könnyen megoldható, hogy csak 10 percre, egy órára,... kerüljön szűrésre az olyan IP, ahonnan ömlik a spam.

( neutrino v | 2016. 08. 10., sze – 08:20 )

Ingyenes megoldás:
http://mailscanner.info/

Nekem ugyanez a felállás van mint nálad, Exchange belső hálón, előtte pedig a MailScanner ami a spamszűrést végzi. A cimlistát scripttel kérdezem le LDAP-on keresztül.
-------------------------
Dropbox refer - mert kell a hely: https://db.tt/V3RtXWLl
neut @ présház