[postfix-users] Postfix Antispam Konfiguration
Uwe Driessen
driessen at fblan.de
Fr Mär 19 14:12:35 CET 2010
On Behalf Of Morten P.D. Stevens
>
> ich habe derzeit das Problem, dass über unsere Server gefühlt zu viel Spam reinkommt.
> Pro Woche 10-15 Mails im Spamordner (durch Spamassassin gefiltert) ist dennoch zu viel.
>
> Die Konfiguration die ich gleich poste haben wir allerdings schon über ein halbes Jahr
> und zu dem Zeitpunkt kam praktisch überhaupt kein Spam durch. Seit den letzten 2-3
> Monaten ist es schlimmer geworden.
>
> Als Contentfilter nehmen wir SpamAsssassin der seinen Job gut macht.
>
> smtpd_helo_required = yes
> smtpd_delay_reject = yes
>
> smtpd_helo_restrictions =
Mit in die smtpd_recipient_restrictions packen
> permit_mynetworks,
> reject_invalid_hostname,
> reject_unknown_helo_hostname,
> reject_non_fqdn_hostname
>
> smtpd_recipient_restrictions =
> permit_sasl_authenticated,
> permit_mynetworks,
> reject_invalid_hostname,
> reject_non_fqdn_sender,
> reject_non_fqdn_recipient,
> reject_unknown_sender_domain,
> reject_unknown_reverse_client_hostname,
> reject_unknown_recipient_domain,
> reject_unauth_pipelining,
> reject_unauth_destination,
> reject_rbl_client b.barracudacentral.org,
> reject_rbl_client zen.spamhaus.org,
> reject_rbl_client ix.dnsbl.manitu.net,
> reject_rbl_client dnsbl.sorbs.net,
> reject_rbl_client dnsbl-1.uceprotect.net,
> reject_rbl_client dnsbl-2.uceprotect.net,
> reject_rbl_client dnsbl-3.uceprotect.net,
uceprotect und barracudacentral gehören bei den RBL's wegen der Listing Politik nicht zu
meinen Lieblingen, Uceprotect ist in der Postfixliste sehr umstritten und es wird eher vor
einem Einsatz abgeraten
> permit
Das permit am Schluss kannst du dir sparen wer bis dahin durchgekommen ist wird eh
angenommen.
Mal ein Beispiel von einem meiner Server der gefühlt gar keinen Spam bekommt
smtpd_recipient_restrictions =
reject_unknown_sender_domain,
reject_unknown_recipient_domain,
permit_mynetworks,
reject_unlisted_recipient,
reject_non_fqdn_sender,
reject_non_fqdn_recipient,
reject_sender_login_mismatch,
reject_unlisted_sender,
permit_sasl_authenticated,
reject_unauthenticated_sender_login_mismatch,
reject_unauth_destination,
check_sender_access hash:/etc/postfix/maps/abzocker,
check_recipient_access hash:/etc/postfix/adress_maps/kuendigt,
check_sender_access pcre:/etc/postfix/checks/sender_checks.pcre,
sleep 1,
check_client_access pcre:/etc/postfix/maps/dynip.pcre,
check_client_access pcre:/etc/postfix/maps/spamer,
check_helo_access pcre:/etc/postfix/helo_checks,
check_helo_access hash:/etc/postfix/maps/helo_check,
check_recipient_access hash:/etc/postfix/maps/empfaenger,
reject_invalid_helo_hostname,
reject_non_fqdn_helo_hostname,
# reject_unknown_reverse_client_hostname,
# reject_unknown_client_hostname,
check_sender_mx_access cidr:/etc/postfix/maps/bogus_mx,
check_sender_mx_access hash:/etc/postfix/maps/wildcard_mx,
check_sender_access hash:/etc/postfix/maps/access,
check_sender_ns_access hash:/etc/postfix/maps/bogus_dns,
check_sender_access hash:/etc/postfix/checks/check_backscatterer,
check_client_access pcre:/etc/postfix/maps/dialups.grey,
check_recipient_access hash:/etc/postfix/roleaccount,
check_policy_service inet:127.0.0.1:12525,
reject_rbl_client zen.spamhaus.org,
reject_rbl_client ix.dnsbl.manitu.net
enthält sehr viele selbst gepflegte maps, dazu wird Amavis im Prequefilter verfahren
eingesetzt.
Selective Greylisting, Policyd-weight runden das ganze noch ab.
Und mit /etc/init.d/postfix Stopp wird auch noch die letzte Mail abgelehnt *gg
>
> Was könnte man daran noch optimieren? Für Vorschläge wäre ich sehr offen und dankbar.
>
> Oder gibt es noch effektivere Blacklists? Es gibt ja teilweise auch kostenpflichtige
> Blacklists... hat da jemand mit Erfahrungen?
>
Ich nicht, es gibt genug freie
Mit freundlichen Grüßen
Drießen
--
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert
Tel.: +49 06708 / 660045 Fax: +49 06708 / 661397
Mehr Informationen über die Mailingliste postfix-users