Vollständige Mail-Server-Lösung mit virtuellen Domains & Benutzern (Debian Etch, Postfix, Mysql, Dovecot, DSpam, ClamAV, Postgrey, RBL) - Seite 5

D. Client-Berechtigungen

Da wir diesen Mail-Server tatsächlich in einer Produktionsumgebung nutzen möchten, wollen wir einschränken, wer darüber E-Mails senden kann. Ein offenes Relay (E-Mails von/zu jedem akzeptieren) ist extrem gefährlich und eine großartige Möglichkeit, sich als SPAM-Server kennzeichnen zu lassen.

Da die Mail-Exchanger wirklich nur E-Mails AN unsere Domain verarbeiten, werden wir SEHR restriktiv sein. Die nächsten Befehle sagen dem Mail-Exchanger, dass E-Mails von den internen Netzwerken erlaubt sind und alle E-Mails an ein unbefugtes Ziel abgelehnt werden.

# postconf -e 'smtpd_recipient_restrictions = permit_mynetworks, reject_unauth_destination, permit'

E. Einfache Spam-Prävention

Während DSpam die überwiegende Mehrheit unserer Anti-Spam-Maßnahmen übernehmen wird, gibt es einige einfache Tricks, die wir auf den Mail-Exchangern anwenden können, um einen Teil der Last zu verringern.

1. Postgrey

Greylisting ist eine ziemlich effektive Gegenmaßnahme gegen Spam, also wollen wir es natürlich auf den Mail-Exchangern aktivieren. Zuerst installieren wir Postgrey. Wie immer macht es Debian uns einfach:

# apt-get install postgrey

Postgrey wird vor dem Versand der E-Mail an den Postman-Server in Postfix eingefügt, also müssen wir es ganz am Ende der smtp_recipient_restrictions in main.cf hinzufügen.

# postconf -e 'smtpd_recipient_restrictions = permit_mynetworks, reject_unauth_destination, check_policy_service inet:127.0.0.1:60000, permit'

Öffnen Sie /etc/default/postgrey in Ihrem bevorzugten Editor und ändern Sie die Optionszeile wie folgt:

[...]  
POSTGREY_OPTS="--inet=127.0.0.1:60000 --delay=55"  
[...]  

Dann starten Sie Postgrey neu und eingehende E-Mails werden um 55 Sekunden verzögert. Sie würden überrascht sein, wie viel Spam dies verhindern wird…

# invoke-rc.d postgrey restart

2. Postfix RBL und andere Regeln

Postgrey ist großartig und wird die Menge an Spam, die Sie sehen, definitiv reduzieren, aber es gibt noch einige weitere Einschränkungen, die wir in die Exchanger einfügen können, bevor sie in Produktion gehen. Ich empfehle dringend, die Postfix-Website und -Dokumentation zu besuchen, um herauszufinden, was all diese Befehle sind:

# postconf -e 'smtpd_recipient_restrictions = permit_mynetworks, reject_non_fqdn_hostname, reject_non_fqdn_sender, reject_non_fqdn_recipient, reject_unauth_destination, reject_unauth_pipelining, reject_invalid_hostname, reject_unknown_sender_domain, reject_rbl_client zen.spamhaus.org, reject_rbl_client list.dsbl.org, reject_rhsbl_sender dsn.fc-ignorant.org, check_policy_service inet:127.0.0.1:60000, permit'

Es lohnt sich auch, einige andere Bereiche einzuschränken:

# postconf -e 'smtpd_data_restrictions = reject_unauth_pipelining, reject_multi_recipient_bounce, permit'

F. Abschließende Worte zum Mail-Exchanger

Bis zu diesem Punkt sollten Ihre beiden Mail-Exchanger-Server (MX-1, MX-2) eingerichtet sein. Diese Server verfügen über RBL, DNS und Postgrey SPAM-Prävention sowie über Quoten-Schutz.

Es gibt einen Punkt, der hier erwähnenswert ist, und das ist die Transporttabelle. Etwas, das man im Hinterkopf behalten sollte, ist, dass dieses spezielle Szenario ursprünglich mit der Absicht geschrieben wurde, von einem auf qmail basierenden Liefersystem zu Postfix zu migrieren. Daher wollten wir in der Lage sein, eine langsame Migration, eine Domain nach der anderen, ohne uns um DNS kümmern zu müssen, zu steuern. Wir haben die beiden Mail-Exchanger-Server eingerichtet, um alle eingehenden E-Mails zu verarbeiten, und ursprünglich verwendeten sie einfach den smtp-Transportagenten, um die E-Mails an den qmail-Server weiterzuleiten (nachdem sie Postgrey überprüft hatten). Dann konnten wir mithilfe der SQL-Transportabfragen eine Domain nach der anderen auf das neue Format umleiten.

Also, wirklich, Sie könnten den Transportprozess vereinfachen, wenn Sie von Grund auf neu beginnen. Wir taten dies nicht, daher konnten wir es nicht.