Tazi statiia e produlzhenie na statiiata na Peio Popov "Postfix s TLS poddruzhka" i opisva konfiguratsiiata na noviia survur na Linux-BG.org, koito mnogo skoro shte poeme vurhu pleshtite si nashiia sait. Ako iskate da razberete kak e organizirana tsialata ni poshtenska sistema, mozhete da prochetete statiiata "Instalatsiia na Postfix Admin s poddruzhka na PostgreSQL".
Molia, imaite predvid, che statiiata e iztsialo prakticheski nasochena i ne pretendira za teoretichna izcherpatelnost i pretsiznost.
NEOBHODIMITE PAKETI
Kakto veche znaete ot novinata za novata ni mashina, izpolzvanata distributsiia e Debian GNU/Linux 3.1. Dobavianeto na antivirusna proverka v poshtenskiia survur Postfix zapochva s instaliraneto na neobhodimite paketi. Tui kato se pridurzhame kum iziskvaneto da polzvame iztsialo svoboden softuer, se spriahme na izklyuchitelno nadezhdnata antivirusna sistema ClamAV.
Vuzpolzvaiki se ot usuvurshenstvanata sistema za proverka na zavisimosti v Debian, dostatuchno e samo da izpulnim komandata:
| Instalirane na paketa clamsmtp |
apt-get install clamsmtp |
S tazi komanda paketniiat menidzhur apt shte instalira i ostanalite paketi, koito sa neobhodimi za nashata tsel.
NASTROIKA NA POSTFIX
Za da "nauchite" Postfix kak da tretira pismata, koito pristigat i se izprashtat chrez nego, taka che da minavat i na "pregled" za virusi, triabva da redaktirate dvata osnovni faila na survura, kato dobavite slednite direktivi i optsii:
| /etc/postfix/master.cf |
scan unix - - n - 16 smtp
-o smtp_send_xforward_command=yes
127.0.0.1:10026 inet n - n - 16 smtpd
-o content_filter=
-o receive_override_options=no_unknown_recipient_checks,no_header_body_checks
-o smtpd_helo_restrictions=
-o smtpd_client_restrictions=
-o smtpd_sender_restrictions=
-o smtpd_recipient_restrictions=permit_mynetworks,reject
-o mynetworks_style=host
-o smtpd_authorized_xforward_hosts=127.0.0.0/8 |
| /etc/postfix/main.cf |
content_filter = scan:127.0.0.1:10025
receive_override_options = no_address_mappings |
| Restartirane na Postfix |
/etc/init.d/postfix restart |
NASTROIKA NA CLAMSMTP
Paketut clamsmtp osiguriava interfeisa mezhdu poshtenskiia survur i samiia antivirusen skener, t.e. izpulniava rabotata na spetsializiran proksi survur. Konfiguratsionniiat fail, ot koito se upravliava, e /etc/clamsmtpd.conf. V nego redaktirame samo dva reda taka, che da sa suobrazeni s nastroikite, koito veche sme zadali v Postfix.
| /etc/clamsmtpd.conf |
OutAddress: 10026
Listen: 127.0.0.1:10025 |
| Restartirane na clamsmtp |
/etc/init.d/clamsmtp restart |
Kakvo se sluchva na praktika? Kogato Postfix poluchi pismo, tursi na zadadeniia v main.cf fail adres 127.0.0.1 i port 10025 filtur za proverka na suobshteniiata, kudeto privetlivo go posreshta clamsmtp. Sled kato pismoto bude pregledano, se vrushta obratno i clamsmtp go "zasilva" kum port 10026, kudeto otnovo triabva da go posreshtne Postfix (posred nastroikite v master.cf), za da produlzhi putia si natatuk.
SENDER POLICY FRAMEWORK (SPF)
V epohata na spama e dobre da se izpolzvat vsichki vuzmozhni sredstva za zashtita ot vsevuzmozhni zloupotrebi. CHesto puti poluchavame oplakvaniia, a i samite nie sme zhertvi na tova, che horata poluchavat spam ot imeto na domeina linux-bg.org, ot koito po vsichko lichi, che ne sa izprateni ot nas. Samite nie postoianno poluchavame pisma ot samite sebe si, kato edna goliama chast ot poshtenskiia bokluk, na koito stavame poturpevshi, se okazva izpraten imenno chrez zloupotreba s chuzhdi domeini.
Eto zashto reshihme da vklyuchim SPF zapis v domeina linux-bg.org, sled kato go prenesem na noviia ni survur. Tova obache e samo ednata strana na medala. Drugata predpolaga da vklyuchim v nashiia poshtenski survur proverka suglasno SPF.
Kontseptsiiata e slednata. Kogato survurut ni poluchi pismo ot domeina domain.com, proveriava dali tozi domein ima SPF zapis v zonata si, koito e ot tipa TXT i izglezhda primerno taka:
| SPF zapis za domeina mail.bg |
mail.bg descriptive text "v=spf1 ip4:193.201.172.0/24 ~all" |
Gorniiat zapis se otnasia do domeina mail.bg i se vizhda chrez komandata:
| Tursene na SPF zapis za domeina mail.bg |
host -t txt mail.bg |
V tozi zapis se namirat ukazaniia (nai-chesto spisuk s IP-ta), ot koito poshtenskiiat ni survur razbira koi hostove imat pravo da izprashtat pisma ot imeto na tozi domein. Ako hostut, ot koito pristiga tekushtoto pismo ne popada v tozi spisuk, pismoto se othvurlia.
Kak reshavame prakticheski neshtata? Predi vsichko triabva da instalirame paketa libmail-spf-query-perl. Oshte predi vreme vklyuchih tozi tip proverka v nastoiashtiia poshtenski survur na linux-bg.org s pomoshtta na ukazaniia ot saita http://spf.pobox.com (mozhe bi edin ot nai-poleznite iztochnitsi na informatsiia za SPF). Ot vuprosniia sait se sdobih sus skripta smtpd-policy.pl, koito triabva da se "vgradi" v konfiguratsiiata na Postfix. "Vgrazhdaneto" stava s dobavianeto na slednata informatsiia vuv faila master.cf:
| /etc/postfix/master.cf |
policy unix - n n - - spawn
user=nobody argv=/usr/bin/perl /usr/lib/postfix/smtpd-policy.pl |
Za da vklyuchim samata proverka, triabva da otvorim faila main.cf i da dobavim v smtpd_recipient_restrictions dopulnenieto check_policy_service unix:private/policy. Eto kak izglezhda v momenta nastroikata na tozi parametur v nashiia Postfix:
| smtpd_recipient_restrictions |
smtpd_recipient_restrictions =
permit_mynetworks,
permit_sasl_authenticated,
permit_tls_clientcerts,
reject_non_fqdn_recipient,
reject_unauth_destination,
reject_invalid_hostname,
reject_unauth_pipelining,
reject_non_fqdn_sender,
reject_unknown_sender_domain,
reject_non_fqdn_recipient,
reject_unknown_hostname,
check_policy_service unix:private/policy,
reject_unknown_recipient_domain,
reject_rbl_client bl.spamcop.net,
reject_rbl_client relays.ordb.org,
reject_rbl_client sbl-xbl.spamhaus.org,
permit |
Ako iskame da se uverim, che neshtata rabotiat, mozhem da sledim kakvo se sluchva vuv faila /var/log/mail.log. Eto kak proticha tsialata proverka.
Postfix poluchava pismo ot imeto na domeina access-one.com. Tozi domein ima SPF zapis, koito glasi:
| Tursene na SPF zapis za domeina access-one.com |
host -t txt access-one.com
access-one.com descriptive text "v=spf1 ptr ip4:198.247.160.16 -all" |
Hostut obache, ot koito pristiga pismoto, e s IP 65.31.120.31 i ne popada v razreshenite suglasno SPF zapisa hostove. V rezultat - pismoto e othvurleno s lyubezno suobshtenie ot nashiia filtur:
| Suobshtenie za othvurliane |
domain of 308lalit@access-one.com does not designate 65.31.120.31 as permitted sender |
dobre
zle
Variant za otpechatvane
