Solución Completa de Servidor de Correo con Dominios y Usuarios Virtuales (Debian Etch, Postfix, Mysql, Dovecot, DSpam, ClamAV, Postgrey, RBL) - Página 5

D. Permisos del cliente

Dado que buscamos utilizar realmente este servidor de correo en un entorno de producción, vamos a querer restringir quién puede enviar correo a través de él. Ser un relay abierto (Aceptando correo De/Para todos) es extremadamente peligroso, y una gran manera de que te etiqueten como un servidor de SPAM.

Dado que los intercambiadores de correo realmente solo manejan el correo A nuestro dominio, vamos a ser MUY restrictivos. Los siguientes comandos indicarán al intercambiador de correo que permita el correo de las redes internas y rechace CUALQUIER correo a un destino no autorizado.

# postconf -e 'smtpd_recipient_restrictions = permit_mynetworks, reject_unauth_destination, permit'

E. Prevención simple de spam

Mientras DSpam manejará la gran mayoría de nuestras medidas anti-spam, hay algunos trucos simples que podemos emplear en los intercambiadores de correo para aliviar un poco la carga.

1. Postgrey

La lista gris es una contramedida bastante efectiva contra el spam, así que, por supuesto, queremos habilitarla en los intercambiadores de correo. Primero que nada, instalemos Postgrey. Como siempre, Debian hace esto simple para nosotros:

# apt-get install postgrey

Postgrey se inyectará antes de que postfix envíe el correo al servidor de correo, así que necesitamos agregarlo al final de las smtp_recipient_restrictions en main.cf.

# postconf -e 'smtpd_recipient_restrictions = permit_mynetworks, reject_unauth_destination, check_policy_service inet:127.0.0.1:60000, permit'

Abre /etc/default/postgrey en tu editor favorito y cambia la línea de opciones a lo siguiente:

[...]  
POSTGREY_OPTS="--inet=127.0.0.1:60000 --delay=55"  
[...]  

Luego reinicia postgrey y el correo entrante se retrasará 55 segundos. Te sorprendería cuánto spam esto evitará…

# invoke-rc.d postgrey restart

2. RBL de Postfix y otras reglas

Postgrey es genial y definitivamente reducirá la cantidad de spam que ves, pero hay algunas restricciones más que podemos poner en los intercambiadores antes de que entren en producción. Recomiendo encarecidamente consultar el sitio web y la documentación de postfix para determinar qué son todos estos comandos:

# postconf -e 'smtpd_recipient_restrictions = permit_mynetworks, reject_non_fqdn_hostname, reject_non_fqdn_sender, reject_non_fqdn_recipient, reject_unauth_destination, reject_unauth_pipelining, reject_invalid_hostname, reject_unknown_sender_domain, reject_rbl_client zen.spamhaus.org, reject_rbl_client list.dsbl.org, reject_rhsbl_sender dsn.fc-ignorant.org, check_policy_service inet:127.0.0.1:60000, permit'

También vale la pena restringir algunas otras áreas:

# postconf -e 'smtpd_data_restrictions = reject_unauth_pipelining, reject_multi_recipient_bounce, permit'

F. Palabras finales sobre el intercambiador de correo

Así que, en este punto, tus dos servidores intercambiadores de correo (MX-1, MX-2) deberían estar configurados. Estos servidores tienen RBL, DNS y prevención de SPAM con Postgrey, así como protección de cuota.

Hay un tema que vale la pena discutir aquí, y ese es la tabla de transporte. Algo a tener en cuenta es que este escenario particular fue escrito originalmente con la intención de migrar de un sistema de entrega basado en qmail a postfix. Como tal, queríamos poder controlar una migración lenta, un dominio a la vez, sin tener que preocuparnos por DNS. Configuramos los dos servidores intercambiadores de correo para manejar todo el correo entrante, y originalmente, solo usaban el agente de transporte smtp para reenviar el correo al servidor qmail (Después de verificar postgrey). Luego, utilizando las consultas de transporte SQL, pudimos redirigir un dominio a la vez al nuevo formato.

Así que, realmente, podrías simplificar el proceso de transporte si estás comenzando desde cero. Nosotros no lo estábamos, por lo tanto no pudimos.