The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Фильтрация спама силами Postfix.
Привожу выдержки из настроек в main.cf для фильтрации спама в версии Postfix
2.2 его собственными силами.
Использую также SASL2 для аутентификации (это не обязательно) и PCRE (аналог regexp).

/etc/postfix/main.cf

====================
   disable_vrfy_command = yes
   strict_rfc821_envelopes = yes
   smtpd_etrn_restriction = reject
   smtpd_sasl_auth_enable = yes
   smtpd_helo_required = yes
   smtpd_helo_restrictions =

   smtpd_recipient_restrictions =
        permit_sasl_authenticated,
        permit_mynetworks,
        reject_non_fqdn_recipient,
        check_recipient_access pcre:/etc/postfix/recipient_checks.pcre,
        reject_unknown_recipient_domain,
        reject_unverified_recipient,
        reject_unauth_destination,
        reject_unauth_pipelining,
        permit_auth_destination

   smtpd_data_restrictions =
        reject_unauth_pipelining,
        reject_multi_recipient_bounce,
        permit

   smtpd_delay_reject=no

   # здесь у меня пусто, но можно ввести свой контроль
   smtpd_client_restrictions =
   #       check_client_access hash:/etc/postfix/maps/access_client

   # количество RBL серверов регулируйте сами, я дал наиболее распространённые, на мой взгляд
   smtpd_sender_restrictions =
        permit_sasl_authenticated,
        permit_mynetworks,
        reject_invalid_hostname,
        reject_non_fqdn_hostname,
        reject_non_fqdn_sender,
        check_sender_access hash:/etc/postfix/maps/ not_our_domain_as_sender,
        reject_unknown_client,
        reject_unknown_sender_domain,
        reject_unknown_hostname,
        check_client_access pcre:/etc/postfix/client_checks.pcre,
        check_helo_access pcre:/etc/postfix/helo_checks.pcre,
        reject_rbl_client bl.spamcop.net,
        reject_rbl_client sbl-xbl.spamhaus.org,
        reject_rbl_client dul.dnsbl.sorbs.net,
        reject_rbl_client list.dsbl.org,
        reject_rbl_client dnsbl.njabl.org,
        reject_rbl_client relays.ordb.org,
        reject_rbl_client cbl.abuseat.org,
        reject_rbl_client opm.blitzed.org,
        reject_rbl_client dul.ru,
        reject_rhsbl_sender dsn.rfc-ignorant.org
====================

/etc/postfix/client_checks.pcre

====================
   /(modem|dia(l|lup)|cp[ce]|dsl|p[cp]p|cable|catv|poo(l|les)|pppoe|dhcp|client|
   customer|user|host|[0-9]{4,})(-|_|\.|[0-9])/ REJECT Invalid hostname (client)

   /[0-9]+-[0-9]+/                 REJECT Invalid hostname (D-D)
====================

/etc/postfix/helo_checks.pcre

====================
   /[^[] *[0-9]+((\.|-|_)[0-9]+){3}/ REJECT Invalid hostname (ipable)

   /(modem|dia(l|lup)|cp[ce]|dsl|p[cp]p|cable|catv|poo(l|les)|pppoe|dhcp|client|
   customer|user|host|[0-9]{4,})(-|_|\.|[0-9])/ REJECT Invalid hostname (client)

   /[0-9]+-[0-9]+/                 REJECT Invalid hostname (D-D)
====================


/etc/postfix/recipient_checks.pcre

====================
   /[@!%].*[@!%]/ 550 Please use user@domain address forms only.
====================

/etc/postfix/maps/not_our_domain_as_sender

====================
   yourdomain.tld     554 Go away, bloody spammer!
====================
 
04.07.2006 , Автор: Дмитрий Кустов
Ключи: mail, limit, filter, spam, postfix / Лицензия: CC-BY
Раздел:    Корень / Администратору / Сетевые сервисы / Mail, почта / Борьба со спамом, фильтрация почты

Обсуждение [ Линейный режим | Показать все | RSS ]
  • 1.1, dawnshade (?), 23:01, 04/07/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
            reject_rbl_client bl.spamcop.net,

    И забудьте про письма с mail.ru - он очень часто любит там бывать.

            reject_rbl_client dul.dnsbl.sorbs.net,
    Забудьте про нормальных людей, которые попадают под горячую руку когда заносят сетки /18 и не хотят платить за делистинг.

            reject_rbl_client dul.ru,
    Тут вообще можно про всю почту забыть - списки завно неадекватны и необновляемы.

    /(modem|dia(l|lup)|cp[ce]|dsl|p[cp]p|cable|catv|poo(l|les)|pppoe|dhcp|client| - этой строкой вы отрежете сразу вполне валидный домен adsl.ru, и  еще кучу можно найти.

     
     
  • 2.5, vorakl (??), 22:25, 05/07/2006 [^] [^^] [^^^] [ответить]  
  • +/
    >reject_rbl_client bl.spamcop.net,
    >И забудьте про письма с mail.ru - он очень часто любит там бывать.

    Опровергаю! Держу его в списке rbldns уже с января месяца этого года и ни разу не было блокировок с mail.ru!!! Ни единого!

    >reject_rbl_client dul.dnsbl.sorbs.net,
    >Забудьте про нормальных людей, которые попадают под горячую руку когда заносят сетки /18 >и не хотят платить за делистинг.

    Откуда подобная информация? Аналогично, данный rbldns использую пол года непрерывно и нареканий не было.

     
     
  • 3.6, dawnshade (?), 22:33, 05/07/2006 [^] [^^] [^^^] [ответить]  
  • +/
    >>reject_rbl_client bl.spamcop.net,
    >>И забудьте про письма с mail.ru - он очень часто любит там бывать.
    >
    >Опровергаю! Держу его в списке rbldns уже с января месяца этого года
    >и ни разу не было блокировок с mail.ru!!! Ни единого!

    научитесь пользоватся поиском и поработайте хоть какоето время постмастером, полтора дня это не опыт.
    http://groups.google.com/groups/search?q=mail.ru+group%3A*abuse*&start=10&
    http://groups.google.com/group/news.admin.net-abuse.sightings/browse_thread/t

    >>reject_rbl_client dul.dnsbl.sorbs.net,
    >>Забудьте про нормальных людей, которые попадают под горячую руку когда заносят сетки /18 >и не хотят платить за делистинг.
    >
    >Откуда подобная информация? Аналогично, данный rbldns использую пол года непрерывно и нареканий
    >не было.

    Еще раз полтора дня это не опыт. не надо выставлять свою некомпетентность.

     
     
  • 4.7, vorakl (??), 12:24, 06/07/2006 [^] [^^] [^^^] [ответить]  
  • +/
    >>Опровергаю! Держу его в списке rbldns уже с января месяца этого года
    >>и ни разу не было блокировок с mail.ru!!! Ни единого!

    >Еще раз полтора дня это не опыт. не надо выставлять свою некомпетентность.


    Если с января месяца до июля - полтора дня... тогда продолжать этот тред не имеет смысла...

     
  • 2.27, chip (ok), 12:31, 14/09/2006 [^] [^^] [^^^] [ответить]  
  • +/
    >        reject_rbl_client bl.spamcop.net,
    >
    >И забудьте про письма с mail.ru - он очень часто любит там
    >бывать.
    >
    >        reject_rbl_client dul.dnsbl.sorbs.net,
    >Забудьте про нормальных людей, которые попадают под горячую руку когда заносят сетки
    >/18 и не хотят платить за делистинг.
    >
    >        reject_rbl_client dul.ru,
    >Тут вообще можно про всю почту забыть - списки завно неадекватны и
    >необновляемы.
    >
    > /(modem|dia(l|lup)|cp[ce]|dsl|p[cp]p|cable|catv|poo(l|les)|pppoe|dhcp|client| - этой строкой вы отрежете сразу вполне валидный домен adsl.ru,
    >и  еще кучу можно найти.

    Присоединяюсь. spamhause.org вообще /15 сети заносит. И адекватно свою позицию изъяснить не может.


     

  • 1.2, ded (??), 08:56, 05/07/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >> сразу вполне валидный домен adsl.ru, и  еще кучу можно найти.
    Например cable.netlux.org
     
  • 1.3, tonik2003 (??), 10:59, 05/07/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Пример срабатывания
       /(modem|dia(l|lup)|cp[ce]|dsl|p[cp]p|cable|catv|poo(l|les)|pppoe|dhcp|client|
       customer|user|host|[0-9]{4,})(-|_|\.|[0-9])/ REJECT Invalid hostname (client)


    Jul  5 10:22:46 gate0 postfix/smtpd[64355]: NOQUEUE: reject: RCPT from smtp-13.masterhost.ru[83.222.24.113]: 554 <smtp-13.masterhost.ru[83.222.24.113]>: Client host rejected: Invalid hostname (client); from=<service@service.ru> to=<ya@mydomain> proto=SMTP helo=<smtp-13.masterhost.ru>

    Здесь видно что не могут пересылать сообщения от домена service.ru через домен masterhost.ru

    И кому предъявлять? Мастерхосту или Сервису

     
     
  • 2.4, dawnshade (?), 11:20, 05/07/2006 [^] [^^] [^^^] [ответить]  
  • +/
    >
    >И кому предъявлять? Мастерхосту или Сервису


    предъявлять вообщемто неграмотным админам скопипастившим этот конф.

     

  • 1.8, Avatar (??), 21:42, 06/07/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Не фильтрация спама, а обрезание нормальных писем!
     
     
  • 2.9, dawnshade (?), 22:06, 06/07/2006 [^] [^^] [^^^] [ответить]  
  • +/
    >Не фильтрация спама, а обрезание нормальных писем!

    объясните это пионерам, которые без году неделя админят мега-постфикс (им так друзья сказали - круто) и повадились писать статьи на опеннет.

     
  • 2.10, wapr (ok), 09:16, 07/07/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Дык написал бы как правильно,
    че пальцами впустую кадаться?

     
     
  • 3.11, Rain (??), 10:41, 07/07/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Поддерживаю.
    Конфиг господина dawnshade в студию.
     
     
  • 4.12, dawnshade (?), 11:11, 07/07/2006 [^] [^^] [^^^] [ответить]  
  • +/
    >Поддерживаю.
    >Конфиг господина dawnshade в студию.


    у меня нет постфикса и на детский сад вида "п.с. за базар надо отвечать!" не ведусь.

     
     
  • 5.13, KuT (?), 11:36, 07/07/2006 [^] [^^] [^^^] [ответить]  
  • +/
    >>Поддерживаю.
    >>Конфиг господина dawnshade в студию.
    >
    >
    >у меня нет постфикса и на детский сад вида "п.с. за базар
    >надо отвечать!" не ведусь.

    Тебя никто ни на что не ведет... Ты раз усомнился в правильности подхода покажи как правильно сделать на твой взгляд. "детский сад" это неаргументированные нападки.

     
     
  • 6.17, Terteron (?), 14:13, 08/07/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Абсолютно согласен, нефиг других об..ть!
    Покаж свой конфиг! %-)
     
     
  • 7.18, dawnshade (?), 16:15, 08/07/2006 [^] [^^] [^^^] [ответить]  
  • +/
    >Абсолютно согласен, нефиг других об..ть!
    >Покаж свой конфиг! %-)

    Какие дети нынче глупые пошли - даже читать не умеют. ну нет у меня поствикса, нету. будет легче если я конф от zmailer или cgpro выложу?

     
     
  • 8.19, Terteron (?), 15:16, 09/07/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Ого, круто, хамить только не надо ... текст свёрнут, показать
     
  • 8.21, Horol (?), 15:52, 13/07/2006 [^] [^^] [^^^] [ответить]  
  • +/
    легче ... текст свёрнут, показать
     

  • 1.14, gvf (?), 19:55, 07/07/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    зачем популяризировать этот способ??? кто догадался сам молодец.
    из-за ваших статей, моя система работавшая 4 года
    и задерживавшая 99% спама стала давать сбои.
    спамеры чертовы тоже учатся!!!
    для пионеров: работаю админом с 99 года у крупного провайдера жалоб и возражений от пользователей - нет.
     
  • 1.15, gvf (?), 19:58, 07/07/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    PS свои конфиги приводить не буду - но совет дам

    анализируйте заголовки спамерских писем, ваша задача выцепить то что нужно и НЕ больше.

     
     
  • 2.23, 5trovi4 (??), 12:45, 24/07/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Поддерживаю. МЫсль от обратного давно уже крутиться, но все никак не реализуется в соответствующий конф.
     
  • 2.29, Dim Man (?), 10:49, 02/10/2006 [^] [^^] [^^^] [ответить]  
  • +/
    >PS свои конфиги приводить не буду - но совет дам
    >
    >анализируйте заголовки спамерских писем, ваша задача выцепить то что нужно и НЕ
    >больше.

    У меня идет и анализ заголовков. И анализ тел. Ложных срабатываний -0,01%

    НО! Во всем этом один громадный МИНУС. Я принимаю весь этот мусор, потом анализирую. Я являюсь ISP и у меня громадный поток писем. 70% из неоткинутых RBL-ами - спам распознаный по  заголовкам и баесовским фильтрам.

    Я ПЛАЧУ ЗА ЭТОТ ТРАФИК

    Большинство спама идет с зомби машин, которые имеют как раз имена хостов dsl-... pool...

    А приведенные правила позволяют режектить письма не принимая. Может для крупного ISP правила и не однозначны. Зато для админа небольшого предприятия, где можно быстренько настроить исключения из правил самое ТО.

     

  • 1.16, Lynx (??), 10:01, 08/07/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    smtpd_delay_reject=no
    smtpd_recipient_restrictions =
            permit_sasl_authenticated,
    ...

    Очень интересно...

     
  • 1.20, Васисуалий Лоханкин (?), 11:33, 11/07/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А как наоборот - не блокировать (в том числе и по внешним блеклистам) по dns-именам? Например, если присутствует в имени *smtp* *mail* mx* *relay* и им подобные?
     
  • 1.22, Denis (??), 23:57, 22/07/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    у меня сразу же google.com заблокировало при этом конфиге...
     
     
  • 2.28, KBAKEP (ok), 11:24, 15/09/2006 [^] [^^] [^^^] [ответить]  
  • +/
    >у меня сразу же google.com заблокировало при этом конфиге...


    /(modem|dia(l|lup)|cp[ce]|dsl|p[cp]p|cable|catv|poo(l|les)|pppoe|dhcp|client|customer|user|host)(-|_|\.|[0-9])/ REJECT Invalid hostname (client)

    /(\w[0-9]{4,})(-|_|\.)/         REJECT Invalid hostname (client)

    /[0-9]+-[0-9]+/                 REJECT Invalid hostname (D-D)

     

  • 1.24, Konstantin (??), 03:44, 25/07/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    У меня что-то приблизтельно такое-же работает. Проблемы возникают переодически, особенно с yahoo, уж очень любит он посылать письма с хостов типа web312-534-635.yahoo.com , причём не шутка, сам заходил отсылал...
     
  • 1.25, Аноним (-), 13:10, 29/07/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    не изобретайте велосипед - все уже придумано - graylist + spamd рулят!!!
    Ну а тех, кто все-таки пролезет (коих будет очень мало) - вручную добавить в стоп-лист.
     
     
  • 2.26, alexisks (ok), 13:48, 07/09/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Ну вообще меня удивляет то как на автора поста накинулись, он же вполне кооректно указал следующее:

    "Использую также SASL2 для аутентификации (это не обязательно) и PCRE (аналог regexp)"
    - кому не надо - отрубаем

    "количество RBL серверов регулируйте сами"
    - правильно, это настраивается индивидуально

    # здесь у меня пусто, но можно ввести свой контроль
    - ну просто у человека система новая, не успел он еще файлик access позаполнять

    В целом для запуска Postfix с базовой фильтрацией сойдет, тюниг это вопрос отдельный.


     

  • 1.30, zilberstein (?), 16:46, 04/06/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    НЕ ИСПОЛЬЗУЙТЕ Spamhaus !

    Сразу несколько государственных организаций по борьбе с мошенничеством и отмыванием денег ведут расследования по Стивену Линфорду и его компаниям.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:




    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру