Solution complète de serveur de messagerie avec domaines et utilisateurs virtuels (Debian Etch, Postfix, Mysql, Dovecot, DSpam, ClamAV, Postgrey, RBL) - Page 5

D. Permissions des clients

Puisque nous cherchons à utiliser ce serveur de messagerie dans un environnement de production, nous allons vouloir restreindre qui peut envoyer des e-mails à travers lui. Être un relais ouvert (Acceptant des e-mails à/depuis tout le monde) est extrêmement dangereux, et un excellent moyen de se faire étiqueter comme un serveur de SPAM.

Puisque les échangeurs de messagerie ne gèrent réellement que les e-mails à notre domaine, nous allons être TRÈS restrictifs. Les prochaines commandes indiqueront à l’échangeur de messagerie d’autoriser les e-mails des réseaux internes, et de rejeter TOUT e-mail vers une destination non autorisée.

# postconf -e 'smtpd_recipient_restrictions = permit_mynetworks, reject_unauth_destination, permit'

E. Prévention simple du spam

Bien que DSpam gère la grande majorité de nos mesures anti-spam, il existe quelques astuces simples que nous pouvons employer sur les échangeurs de messagerie pour alléger un peu la charge.

1. Postgrey

Le greylisting est une contre-mesure assez efficace contre le spam, donc nous voulons bien sûr l’activer sur les échangeurs de messagerie. Tout d’abord, installons Postgrey. Comme toujours, Debian nous facilite la tâche :

# apt-get install postgrey

Postgrey sera injecté avant que postfix n’envoie le mail au serveur de messagerie, donc nous devons l’ajouter à la toute fin des smtp_recipient_restrictions dans main.cf.

# postconf -e 'smtpd_recipient_restrictions = permit_mynetworks, reject_unauth_destination, check_policy_service inet:127.0.0.1:60000, permit'

Ouvrez /etc/default/postgrey dans votre éditeur préféré, et changez la ligne des options comme suit :

[...]  
POSTGREY_OPTS="--inet=127.0.0.1:60000 --delay=55"  
[...]  

Puis redémarrez postgrey et les e-mails entrants seront retardés de 55 secondes. Vous seriez surpris de voir combien de spam cela empêchera…

# invoke-rc.d postgrey restart

2. RBL Postfix et autres règles

Postgrey est génial, et réduira définitivement la quantité de spam que vous voyez, mais il y a d’autres restrictions que nous pouvons mettre en place dans les échangeurs avant qu’ils ne passent en production. Je recommande vivement de consulter le site Web et la documentation de postfix pour déterminer ce que toutes ces commandes signifient :

# postconf -e 'smtpd_recipient_restrictions = permit_mynetworks, reject_non_fqdn_hostname, reject_non_fqdn_sender, reject_non_fqdn_recipient, reject_unauth_destination, reject_unauth_pipelining, reject_invalid_hostname, reject_unknown_sender_domain, reject_rbl_client zen.spamhaus.org, reject_rbl_client list.dsbl.org, reject_rhsbl_sender dsn.fc-ignorant.org, check_policy_service inet:127.0.0.1:60000, permit'

Il vaut également la peine de restreindre d’autres domaines :

# postconf -e 'smtpd_data_restrictions = reject_unauth_pipelining, reject_multi_recipient_bounce, permit'

F. Derniers mots sur l’échangeur de messagerie

Donc, à ce stade, vos deux serveurs d’échange de messagerie (MX-1, MX-2) devraient être configurés. Ces serveurs ont RBL, DNS et prévention du SPAM Postgrey, ainsi que protection par quota.

Il y a un point qui mérite d’être discuté ici, et c’est la table de transport. Une chose à garder à l’esprit est que ce scénario particulier a été initialement écrit avec l’intention de migrer d’un système de livraison basé sur qmail vers postfix. En tant que tel, nous voulions pouvoir contrôler une migration lente, un domaine à la fois, sans avoir à nous soucier de DNS. Nous avons configuré les deux serveurs d’échange de messagerie pour gérer tous les e-mails entrants, et à l’origine, ils utilisaient simplement l’agent de transport smtp pour transférer le mail au serveur qmail (Après avoir vérifié postgrey). Ensuite, en utilisant les requêtes SQL Transport, nous avons pu rediriger un domaine à la fois vers le nouveau format.

Donc, en réalité, vous pourriez simplifier le processus de transport si vous partez de zéro. Nous ne l’étions pas, donc nous ne pouvions pas.