Postfix di rafforzamento per ISPConfig 3

Postfix indurente per ISPConfig 3

Autore:Jesús Córdoba
E-mail:j.cordoba [at] gmx [dot] net
Utente del forum:pititis

Versione:1.2

L'obiettivo di questo tutorial è rafforzare il suffisso del server di posta utilizzato da ISPConfig per i server di posta Internet in cui gli utenti autenticati sono attendibili. Con questa configurazione rifiuterai una grande quantità di spam prima che passi nella tua coda di posta, risparmiando molte risorse di sistema e rendendo il tuo server di posta forte contro spammer e botnet spam. Andiamo.

DNS inverso, (record DNS PTR)

Per impostare rdns troverai due situazioni:

- Il tuo ISP ti permette di cambiarlo tu stesso. Dai un'occhiata al tuo pannello di controllo.

- Il tuo ISP non ti permette di cambiarlo. Basta inviare un'e-mail con la tua richiesta.

Chiedi o indirizza il tuo record rdns al tuo server. cioè server.example.comPuoi controllare i tuoi rdns con il comando host:

[email protected] / # host 149.20.4.69

 69.64-27.4.20.149.in-addr.arpa puntatore del nome di dominio pub2.kernel.org.

Ricorda che DNS deve propagare le modifiche.

SPF per il tuo dominio (record DNS TXT)

SPF è un sistema di convalida e-mail progettato per prevenire lo spam e-mail rilevando lo spoofing e-mail, una vulnerabilità comune, verificando gli indirizzi IP dei mittenti.

Per impostare spf dovrai aggiungere un record TXT alla tua zona DNS ma prima puoi generare il tuo record qui:http://www.mailradar.com/spf/

Copia il risultato spf, quindi vai su ISPConfig -> dns -> zone -> fai clic sul tuo nome di dominio -> fai clic sulla scheda record -> e fai clic su TXT

Nome host -> esempio.com. (con punto alla fine!)

Testo -> Incolla qui il risultato spf (senza " ").

Esempio:v=spf1 a mx ptr ip4:11.222.333.444 -all       ...e fai clic su Salva.

Ricorda che DNS deve propagare le modifiche.

Postfix main.cf

Aggiungiamo/cambiamo qualcosa in /etc/postfix/main.cf

Restrizioni sull'elicottero:

smtpd_helo_required =yessmtpd_helo_restrictions =permit_mynetworks, permit_sasl_authenticated, require_non_fqdn_helo_hostname, require_invalid_helo_hostname

Restrizioni Helo in azione:

12 gennaio 01:57:08 suffisso server/smtpd[4687]:NOQUEUE:rifiuto:RCPT da sconosciuto[186.43.77.153]:450 4.7.1 Host client rifiutato:impossibile trovare il tuo nome host, [186.43.77.153]; from= to= proto=ESMTP helo=<[186.43.77.153]>8 gennaio 00:32:22 server postfix/smtpd[17504]:NOQUEUE:rifiuto:RCPT da 201-93-87-2.dial-up.telesp.net.br[201.93.87.2]:504 5.5.2 :comando Helo rifiutato:è necessario un nome host completo; da= a= proto=ESMTP helo=

Rigoroso rfc:

strict_rfc821_envelopes =sì

Restrizioni per i clienti:

smtpd_client_restrictions =permit_mynetworks, permit_sasl_authenticated, require_unknown_client_hostname, check_client_access mysql:/etc/postfix/mysql-virtual_client.cf

Restrizioni sui destinatari:

smtpd_recipient_restrictions =permit_mynetworks, permit_sasl_authenticated, require_unauth_destination, check_recipient_access mysql:/etc/postfix/mysql-virtual_recipient.cf, require_unknown_recipient_domain

Restrizioni sui dati:

smtpd_data_restrictions =respinge_unauth_pipelining

Ritardo SMTP:

smtpd_delay_reject =si

Non dimenticare ricarica postfix:

/etc/init.d/postfix ricarica

Controlla SPF per Postfix (Debian e Ubuntu)

Installa il pacchetto spf:

apt-get install postfix-policyd-spf-python

o

apt-get install postfix-policyd-spf-perl

Aggiungilo a /etc/postfix/main.cf :

policy-spf_time_limit =3600 secondi

e aggiungi check_policy_service unix:private/policy-spf alla fine di smtpd_recipient_restrictions:

smtpd_recipient_restrictions =permit_mynetworks, permit_sasl_authenticated, check_recipient_access mysql:/etc/postfix/mysql-virtual_recipient.cf, require_unauth_destination, require_unknown_recipient_domain, check_policy_service unix:private/policy-spf

Ora modifica master.cf e aggiungi alla fine questo (per la versione python):

policy-spf unix - n n - - spawn user=nobody argv=/usr/bin/policyd-spf 

o questo per la versione perl:

policy-spf unix - n n - - spawn user=nobody argv=/usr/sbin/postfix-policyd-spf-perl

…ricarica il postfisso.

/etc/init.d/postfix ricarica

Spf in azione:

4 gennaio 15:50:11 suffisso del server/smtpd[19096]:NOQUEUE:rifiuto:RCPT da g230068165.adsl.alicedsl.de[92.230.68.165]:550 5.7.1 :Destinatario indirizzo rifiutato:messaggio rifiutato a causa di:errore SPF - non autorizzato. Si prega di consultare http://www.openspf.org/Why?s=helo;id=paxxxxxn.com;ip=92.230.68.165;[email protected]; from= to= proto=ESMTP helo=

Lista grigia

Greylisting è un metodo per difendere gli utenti di posta elettronica dallo spam. Un agente di trasferimento della posta (MTA) che utilizza il greylisting "rifiuterà temporaneamente" qualsiasi e-mail da un mittente che non riconosce. Se l'e-mail è legittima, il server di origine, dopo un ritardo, riprova e, se è trascorso un tempo sufficiente, l'e-mail verrà accettata.

Installazione di postgrey (Debian, Ubuntu):

apt-get install postgrey

Le opzioni di configurazione sono in /etc/default/postgrey (il ritardo predefinito è 5 min).

Modifica main.cf e aggiungi check_policy_service inet:127.0.0.1:10023 alla fine di smtpd_recipient_restrictions:

smtpd_recipient_restrictions =permit_mynetworks, permit_sasl_authenticated, check_recipient_access mysql:/etc/postfix/mysql-virtual_recipient.cf, require_unauth_destination, require_unknown_recipient_domain, check_policy_service unix:private/policy-spf, check_policy_service inet:127.0.0.1:10 

 …ricarica il postfisso:
 
/etc/init.d/postfix ricarica
 

 Greylist in azione:
 
10 gennaio 17:38:57 suffisso del server/smtpd[21302]:NOQUEUE:rifiuto:RCPT da mailout-de.gmx.net[213.165.64.22]:451 4.7.1 :Destinatario indirizzo rifiutato:Greylisting in vigore, torna più tardi; from= to= proto=SMTP helo=
 

 
 
DNSBL (lista nera/blocca basata su DNS)
 

 Un DNSBL è un elenco di indirizzi IP pubblicato tramite Internet Domain Name Service (DNS) sia come file di zona che può essere utilizzato dal software del server DNS, sia come una zona DNS attiva che può essere interrogata in tempo reale. I DNSBL sono più spesso utilizzati per pubblicare gli indirizzi di computer o reti collegate allo spamming; la maggior parte del software del server di posta può essere configurato per rifiutare o contrassegnare i messaggi che sono stati inviati da un sito elencato in uno o più di questi elenchi. Questi possono includere l'elenco degli indirizzi dei computer zombie o di altre macchine utilizzate per inviare spam, l'elenco degli indirizzi degli ISP che ospitano volontariamente gli spammer o l'elenco degli indirizzi che hanno inviato spam a un sistema honeypot. Per utilizzare dnsbl con postix utilizziamo require_rbl_client. Basta aggiungere alcune zone dns live per le query nel file main.cf.
 

 Nel mio esempio userò due liste con un'ottima reputazione (aggiunte alla fine di smtpd_client_restrictions):
 
smtpd_client_restrictions =permit_mynetworks, permit_sasl_authenticated, require_unknown_client_hostname, check_client_access mysql:/etc/postfix/mysql-virtual_client.cf, require_rbl_client cbl.abuseat.org, require_rbl_client b.barracudacentral.org
 

 rbl in azione:
 
12 gennaio 01:52:42 suffisso del server/smtpd[4616]:NOQUEUE:rifiuto:RCPT da 89.pool85-49-26.dynamic.orange.es[85.49.26.89]:554 5.7.1 Servizio non disponibile; Host client [85.49.26.89] bloccato utilizzando cbl.abuseat.org; Bloccato - vedere http://cbl.abuseat.org/lookup.cgi?ip=85.49.26.89; from= to= proto=SMTP helo=11 gennaio 20:13:58 server postfix/smtpd[29591]:NOQUEUE:rifiuto:RCPT da 93 -87-122-56.dynamic.isp.telekom.rs[93.87.122.56]:554 5.7.1 Servizio non disponibile; Host client [93.87.122.56] bloccato tramite b.barracudacentral.org; http://www.barracudanetworks.com/reputation/?pr=1&ip=93.87.122.56; from= to= proto=ESMTP helo=
 
Postscreen
 

 Nota:questa funzione è disponibile in Postfix 2.8 e versioni successive
 

 Il demone Postfix postscreen fornisce una protezione aggiuntiva contro il sovraccarico del server di posta. Un processo postscreen gestisce più connessioni SMTP in entrata e decide quali client possono comunicare con un processo del server SMTP Postfix. Tenendo lontani gli spambot, il postscreen lascia più processi del server SMTP disponibili per i client legittimi e ritarda l'insorgere di condizioni di sovraccarico del server. 
 

 La sfida principale per il postscreen è prendere una decisione da zombi basata su un'unica misurazione. Ciò è necessario perché molti zombi cercano di volare sotto il radar ed evitano di spammare ripetutamente lo stesso sito. Una volta che postscreen decide che un client non è uno zombi, inserisce temporaneamente il client nella whitelist per evitare ulteriori ritardi per la posta legittima. 
 

 Utilizzeremo per questo tutorial le impostazioni predefinite con un'eccezione. Queste impostazioni vanno bene per la maggior parte delle situazioni
 

 Innanzitutto, aggiungiamo una riga a main.cf con il comando:
 
postscreen_greet_action =applica
 

 In secondo luogo aggiungiamo postscreen e alcuni nuovi servizi a master.cf Nota:queste impostazioni possono già esistere, basta rimuovere il commento. Assicurati inoltre che la riga "smtp inet ... smtpd", incluso qualsiasi parametro sia commentata (se presente, i parametri devono essere spostati nel nuovo servizio smtpd).
 
# File di configurazione del processo master di Postfix. Per i dettagli sul formato# del file, vedere la pagina di manuale di master(5) (comando:"man 5 master").## Non dimenticare di eseguire "postfix reload" dopo aver modificato questo file.## ===============================================================================================================================================================# tipo di servizio private unpriv chroot wakeup maxproc comando + args# (sì) (sì) (sì) (mai) (100)# ==============================================================================================================================================================#smtp inet n - - - - smtpd# -o ...smtpd pass - - n - - smtpd -o ... # Parametri spostati dal servizio smtp al nuovo servizio smtpd.(se presente)smtp inet n - n - 1 postscreentlsproxy unix - - n - 0 tlsproxydnsblog unix - - n - 0 dnsblog
 

 Ora ricarichiamo postfix:
 
/etc/init.d/postfix ricarica