Soluzione Completa per Server di Posta con Domini e Utenti Virtuali (Debian Etch, Postfix, Mysql, Dovecot, DSpam, ClamAV, Postgrey, RBL) - Pagina 5

D. Permessi del client

Poiché stiamo cercando di utilizzare effettivamente questo server di posta in un ambiente di produzione, vogliamo limitare chi può inviare posta attraverso di esso. Essere un relay aperto (Accettare posta Da/A tutti) è estremamente pericoloso e un ottimo modo per essere etichettati come server SPAM.

Poiché gli Scambiatori di Posta gestiscono realmente solo la posta VERSO il nostro dominio, saremo MOLTO restrittivi. I comandi seguenti diranno all’exchanger di posta di consentire email dalle reti interne e rifiutare QUALSIASI email a una destinazione non autorizzata.

# postconf -e 'smtpd_recipient_restrictions = permit_mynetworks, reject_unauth_destination, permit'

E. Semplice prevenzione dello spam

Mentre DSpam gestirà la maggior parte delle nostre misure anti-spam, ci sono alcuni semplici trucchi che possiamo impiegare sugli Scambiatori di Posta per alleggerire un po’ il carico.

1. Postgrey

Il greylisting è una contromisura abbastanza efficace contro lo spam, quindi vogliamo ovviamente abilitarlo sugli Scambiatori di Posta. Prima di tutto, installiamo Postgrey. Come sempre, Debian rende questo semplice per noi:

# apt-get install postgrey

Postgrey verrà iniettato prima che postfix invii la posta al server postman, quindi dobbiamo aggiungerlo alla fine delle smtp_recipient_restrictions in main.cf.

# postconf -e 'smtpd_recipient_restrictions = permit_mynetworks, reject_unauth_destination, check_policy_service inet:127.0.0.1:60000, permit'

Apri /etc/default/postgrey nel tuo editor preferito e modifica la riga delle opzioni nel seguente modo:

[...]  
POSTGREY_OPTS="--inet=127.0.0.1:60000 --delay=55"  
[...]  

Poi riavvia postgrey e la posta in arrivo sarà ritardata di 55 secondi. Rimarrai sorpreso da quanto spam questo impedirà…

# invoke-rc.d postgrey restart

2. Postfix RBL e altre regole

Postgrey è fantastico e ridurrà sicuramente la quantità di spam che vedi, ma ci sono alcune altre restrizioni che possiamo mettere negli exchangers prima che entrino in produzione. Ti consiglio vivamente di controllare il sito web di postfix e la documentazione per determinare cosa sono tutti questi comandi:

# postconf -e 'smtpd_recipient_restrictions = permit_mynetworks, reject_non_fqdn_hostname, reject_non_fqdn_sender, reject_non_fqdn_recipient, reject_unauth_destination, reject_unauth_pipelining, reject_invalid_hostname, reject_unknown_sender_domain, reject_rbl_client zen.spamhaus.org, reject_rbl_client list.dsbl.org, reject_rhsbl_sender dsn.fc-ignorant.org, check_policy_service inet:127.0.0.1:60000, permit'

Vale anche la pena limitare alcune altre aree:

# postconf -e 'smtpd_data_restrictions = reject_unauth_pipelining, reject_multi_recipient_bounce, permit'

F. Parole finali sugli Scambiatori di Posta

Quindi, a questo punto, i tuoi due server di scambio di posta (MX-1, MX-2) dovrebbero essere configurati. Questi server hanno RBL, DNS e prevenzione SPAM di Postgrey, oltre alla protezione delle quote.

C’è un argomento che vale la pena discutere qui, ed è la tabella di trasporto. Qualcosa da tenere a mente è che questo particolare scenario è stato originariamente scritto con l’intento di migrare da un sistema di consegna basato su qmail a postfix. Pertanto, volevamo essere in grado di controllare una migrazione lenta, un dominio alla volta, senza doverci preoccupare del DNS. Abbiamo configurato i due server di Scambio di Posta per gestire tutta la posta in arrivo e, inizialmente, utilizzavano semplicemente l’agente di trasporto smtp per inoltrare la posta al server qmail (dopo aver controllato postgrey). Poi, utilizzando le query di Trasporto SQL, siamo stati in grado di reindirizzare un dominio alla volta al nuovo formato.

Quindi, in realtà, potresti semplificare il processo di trasporto se stai partendo da zero. Noi non lo eravamo, quindi non potevamo.