Postfix "smtpd_recipient_restrictions"に設定された最適なパラメータ

Question

私たちは別のISPからDNSを継承しており、今やメールサーバーは毎分約1000通の電子メールで攻撃されています。これらの電子メールの99.99％は単なるスパムです。私たちはあまり運が悪い状態でスパムのフィルタリング/拒否を最適化しようとしています。

smtpd_recipient_restrictionsに最適なセットは何だと思いますか？

システム構成：Ubuntu + Amavis + Postfix + MySQL + Fail2Ban-Postfix

どんなアドバイスでも大歓迎です！

DPATE、2012-08-08

後続としてのposftix構成の変更とPotrgeyサービスの構成で、スパムレベルが10倍に減少しました

smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_non_fqdn_hostname, reject_invalid_hostname, reject_non_fqdn_sender, reject_unknown_sender_domain, reject_non_fqdn_recipient, reject_unknown_recipient_domain, check_policy_service inet:127.0.0.1:10023, reject_rbl_client zen.spamhaus.org, check_recipient_access mysql:/etc/postfix/mysql-virtual_recipient.cf, reject_unauth_pipelining, reject_unauth_destination

enter image description here

mailq · Accepted Answer

ルールの順序は非常に悪いです。それらすべてを保持し、他に何も追加しない場合は、順序は次のようにする必要があります。

smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_pipelining, reject_invalid_hostname, reject_non_fqdn_sender, reject_unknown_sender_domain, reject_unauth_destination, reject_unknown_recipient_domain, reject_rbl_client zen.spamhaus.org, check_recipient_access proxy:mysql:/etc/postfix/mysql-virtual_recipient.cf, reject_non_fqdn_recipient

それでも不十分な場合は、_ http://www.postfix.org/POSTSCREEN_README.html のpostscreenについてお読みください。

sebokopter · Answer

次のようなsmtpd_recipient_restrictionをお勧めします。

smtpd_recipient_restricdtions = # Whitelisting or blacklisting: check_recipient_access proxy:mysql:/etc/postfix/mysql-virtual_recipient.cf, # Everyone should play after rules: reject_non_fqdn_recipient, reject_non_fqdn_sender, reject_unknown_recipient_domain, reject_unknown_sender_domain, reject_unauth_pipelining, # Mails from your users: permit_mynetworks, permit_sasl_authenticated, # This will block mails from domains with no reverse DNS record. Will affect both spam and ham mails, but mostly spam. reject_unknown_reverse_client_hostname, # Instead of reject_unknown_reverse_client_hostname you can also use reject_unknown_client_hostname, which is an even harder rule. # Reject ugly HELO/EHLO-hostnames (could also affect regular mails): reject_non_fqdn_hostname, reject_invalid_helo_hostname, # Reject everything you're not responsible for: reject_unauth_destination, # Only take mails for existing accounts: reject_unverified_recipient, # DNS lookups are "expensive", therefore should be at bottom reject_rbl_client zen.spamhaus.org

Smtpd_recipient_restrictionsに関する詳細情報はここにあります： http://www.postfix.org/postconf.5.html#smtpd_recipient_restrictions

postgrey 、 postscreen 、 postfwd またはその他のポリシーデーモンも使用する必要があるかもしれません。

また、プレキューモードでamavisd-newを使用していることも確認してください。