Привожу выдержки из настроек в main.cf для фильтрации спама в версии Postfix 2.2 его собственными силами.
Использую также SASL2 для аутентификации (это не обязательно) и PCRE (аналог regexp)./etc/postfix/main.cf
====================
disable_vrfy_command = yes
strict_rfc821_envelopes = yes
smtpd_etrn_restriction = reject
smtpd_sasl_auth_enable = yes
smtpd_helo_required = yes
smtpd_helo_restrictions =smtpd_recipient_restrictions =
permit_sasl_authenticated,
permit_mynetworks,
reject_non_fqdn_recipient,
check_recipient_access pcre:/etc/postfix/recipient_checks.pcre,
reject_unknown_recipient_domain,
reject_unverified_recipient,
reject_unauth_destination,
reject_unauth_pipelining,
permit_auth_destinationsmtpd_data_restrictions =
reject_unauth_pipelining,
reject_multi_recipient_bounce,
permitsmtpd_delay_reject=no
# здесь у меня пусто, но можно ввести свой контроль
smtpd_client_restrictions =
# check_client_access hash:/etc/postfix/maps/access_client# количество RBL серверов регулируйте сами, я дал наиболее распространённые, на мой взгляд
smtpd_sender_restrictions =
permit_sasl_authenticated,
permit_mynetworks,
reject_invalid_hostname,
reject_non_fqdn_hostname,
reject_non_fqdn_sender,
check_sender_access hash:/etc/postfix/maps/ not_our_domain_as_sender,
reject_unknown_client,
reject_unknown_sender_domain,
reject_unknown_hostname,
check_client_access pcre:/etc/postfix/client_checks.pcre,
check_helo_access pcre:/etc/postfix/helo_checks.pcre,
reject_rbl_client bl.spamcop.net,
reject_rbl_client sbl-xbl.spamhaus.org,
reject_rbl_client dul.dnsbl.sorbs.net,
reject_rbl_client list.dsbl.org,
reject_rbl_client dnsbl.njabl.org,
reject_rbl_client relays.ordb.org,
reject_rbl_client cbl.abuseat.org,
reject_rbl_client opm.blitzed.org,
reject_rbl_client dul.ru,
reject_rhsbl_sender dsn.rfc-ignorant.org
====================/etc/postfix/client_checks.pcre
====================
/(modem|dia(l|lup)|cp[ce]|dsl|p[cp]p|cable|catv|poo(l|les)|pppoe|dhcp|client|
customer|user|host|[0-9]{4,})(-|_|\.|[0-9])/ REJECT Invalid hostname (client)/[0-9]+-[0-9]+/ REJECT Invalid hostname (D-D)
====================/etc/postfix/helo_checks.pcre
====================
/[^[] *[0-9]+((\.|-|_)[0-9]+){3}/ REJECT Invalid hostname (ipable)/(modem|dia(l|lup)|cp[ce]|dsl|p[cp]p|cable|catv|poo(l|les)|pppoe|dhcp|client|
customer|user|host|[0-9]{4,})(-|_|\.|[0-9])/ REJECT Invalid hostname (client)/[0-9]+-[0-9]+/ REJECT Invalid hostname (D-D)
====================
/etc/postfix/recipient_checks.pcre====================
/[@!%].*[@!%]/ 550 Please use user@domain address forms only.
====================/etc/postfix/maps/not_our_domain_as_sender
====================
yourdomain.tld 554 Go away, bloody spammer!
====================
URL:
Обсуждается: http://www.opennet.me/tips/info/1055.shtml
reject_rbl_client bl.spamcop.net,И забудьте про письма с mail.ru - он очень часто любит там бывать.
reject_rbl_client dul.dnsbl.sorbs.net,
Забудьте про нормальных людей, которые попадают под горячую руку когда заносят сетки /18 и не хотят платить за делистинг.reject_rbl_client dul.ru,
Тут вообще можно про всю почту забыть - списки завно неадекватны и необновляемы./(modem|dia(l|lup)|cp[ce]|dsl|p[cp]p|cable|catv|poo(l|les)|pppoe|dhcp|client| - этой строкой вы отрежете сразу вполне валидный домен adsl.ru, и еще кучу можно найти.
>reject_rbl_client bl.spamcop.net,
>И забудьте про письма с mail.ru - он очень часто любит там бывать.Опровергаю! Держу его в списке rbldns уже с января месяца этого года и ни разу не было блокировок с mail.ru!!! Ни единого!
>reject_rbl_client dul.dnsbl.sorbs.net,
>Забудьте про нормальных людей, которые попадают под горячую руку когда заносят сетки /18 >и не хотят платить за делистинг.Откуда подобная информация? Аналогично, данный rbldns использую пол года непрерывно и нареканий не было.
>>reject_rbl_client bl.spamcop.net,
>>И забудьте про письма с mail.ru - он очень часто любит там бывать.
>
>Опровергаю! Держу его в списке rbldns уже с января месяца этого года
>и ни разу не было блокировок с mail.ru!!! Ни единого!научитесь пользоватся поиском и поработайте хоть какоето время постмастером, полтора дня это не опыт.
http://groups.google.com/groups/search?q=mail.ru+group%3A*abuse*&start=10&
http://groups.google.com/group/news.admin.net-abuse.sighting...*abuse*&rnum=19#9db6be9b42fe6c1c>>reject_rbl_client dul.dnsbl.sorbs.net,
>>Забудьте про нормальных людей, которые попадают под горячую руку когда заносят сетки /18 >и не хотят платить за делистинг.
>
>Откуда подобная информация? Аналогично, данный rbldns использую пол года непрерывно и нареканий
>не было.Еще раз полтора дня это не опыт. не надо выставлять свою некомпетентность.
>>Опровергаю! Держу его в списке rbldns уже с января месяца этого года
>>и ни разу не было блокировок с mail.ru!!! Ни единого!>Еще раз полтора дня это не опыт. не надо выставлять свою некомпетентность.
Если с января месяца до июля - полтора дня... тогда продолжать этот тред не имеет смысла...
> reject_rbl_client bl.spamcop.net,
>
>И забудьте про письма с mail.ru - он очень часто любит там
>бывать.
>
> reject_rbl_client dul.dnsbl.sorbs.net,
>Забудьте про нормальных людей, которые попадают под горячую руку когда заносят сетки
>/18 и не хотят платить за делистинг.
>
> reject_rbl_client dul.ru,
>Тут вообще можно про всю почту забыть - списки завно неадекватны и
>необновляемы.
>
> /(modem|dia(l|lup)|cp[ce]|dsl|p[cp]p|cable|catv|poo(l|les)|pppoe|dhcp|client| - этой строкой вы отрежете сразу вполне валидный домен adsl.ru,
>и еще кучу можно найти.Присоединяюсь. spamhause.org вообще /15 сети заносит. И адекватно свою позицию изъяснить не может.
>> сразу вполне валидный домен adsl.ru, и еще кучу можно найти.
Например cable.netlux.org
Пример срабатывания
/(modem|dia(l|lup)|cp[ce]|dsl|p[cp]p|cable|catv|poo(l|les)|pppoe|dhcp|client|
customer|user|host|[0-9]{4,})(-|_|\.|[0-9])/ REJECT Invalid hostname (client)
Jul 5 10:22:46 gate0 postfix/smtpd[64355]: NOQUEUE: reject: RCPT from smtp-13.masterhost.ru[83.222.24.113]: 554 <smtp-13.masterhost.ru[83.222.24.113]>: Client host rejected: Invalid hostname (client); from=<service@service.ru> to=<ya@mydomain> proto=SMTP helo=<smtp-13.masterhost.ru>Здесь видно что не могут пересылать сообщения от домена service.ru через домен masterhost.ru
И кому предъявлять? Мастерхосту или Сервису
>
>И кому предъявлять? Мастерхосту или Сервису
предъявлять вообщемто неграмотным админам скопипастившим этот конф.
Не фильтрация спама, а обрезание нормальных писем!
>Не фильтрация спама, а обрезание нормальных писем!объясните это пионерам, которые без году неделя админят мега-постфикс (им так друзья сказали - круто) и повадились писать статьи на опеннет.
Дык написал бы как правильно,
че пальцами впустую кадаться?
Поддерживаю.
Конфиг господина dawnshade в студию.
>Поддерживаю.
>Конфиг господина dawnshade в студию.
у меня нет постфикса и на детский сад вида "п.с. за базар надо отвечать!" не ведусь.
>>Поддерживаю.
>>Конфиг господина dawnshade в студию.
>
>
>у меня нет постфикса и на детский сад вида "п.с. за базар
>надо отвечать!" не ведусь.Тебя никто ни на что не ведет... Ты раз усомнился в правильности подхода покажи как правильно сделать на твой взгляд. "детский сад" это неаргументированные нападки.
Абсолютно согласен, нефиг других об..ть!
Покаж свой конфиг! %-)
>Абсолютно согласен, нефиг других об..ть!
>Покаж свой конфиг! %-)Какие дети нынче глупые пошли - даже читать не умеют. ну нет у меня поствикса, нету. будет легче если я конф от zmailer или cgpro выложу?
Ого, круто, хамить только не надо!
легче! =)
зачем популяризировать этот способ??? кто догадался сам молодец.
из-за ваших статей, моя система работавшая 4 года
и задерживавшая 99% спама стала давать сбои.
спамеры чертовы тоже учатся!!!
для пионеров: работаю админом с 99 года у крупного провайдера жалоб и возражений от пользователей - нет.
PS свои конфиги приводить не буду - но совет даманализируйте заголовки спамерских писем, ваша задача выцепить то что нужно и НЕ больше.
Поддерживаю. МЫсль от обратного давно уже крутиться, но все никак не реализуется в соответствующий конф.
>PS свои конфиги приводить не буду - но совет дам
>
>анализируйте заголовки спамерских писем, ваша задача выцепить то что нужно и НЕ
>больше.У меня идет и анализ заголовков. И анализ тел. Ложных срабатываний -0,01%
НО! Во всем этом один громадный МИНУС. Я принимаю весь этот мусор, потом анализирую. Я являюсь ISP и у меня громадный поток писем. 70% из неоткинутых RBL-ами - спам распознаный по заголовкам и баесовским фильтрам.
Я ПЛАЧУ ЗА ЭТОТ ТРАФИК
Большинство спама идет с зомби машин, которые имеют как раз имена хостов dsl-... pool...
А приведенные правила позволяют режектить письма не принимая. Может для крупного ISP правила и не однозначны. Зато для админа небольшого предприятия, где можно быстренько настроить исключения из правил самое ТО.
smtpd_delay_reject=no
smtpd_recipient_restrictions =
permit_sasl_authenticated,
...Очень интересно...
А как наоборот - не блокировать (в том числе и по внешним блеклистам) по dns-именам? Например, если присутствует в имени *smtp* *mail* mx* *relay* и им подобные?
у меня сразу же google.com заблокировало при этом конфиге...
>у меня сразу же google.com заблокировало при этом конфиге...
/(modem|dia(l|lup)|cp[ce]|dsl|p[cp]p|cable|catv|poo(l|les)|pppoe|dhcp|client|customer|user|host)(-|_|\.|[0-9])/ REJECT Invalid hostname (client)/(\w[0-9]{4,})(-|_|\.)/ REJECT Invalid hostname (client)
/[0-9]+-[0-9]+/ REJECT Invalid hostname (D-D)
У меня что-то приблизтельно такое-же работает. Проблемы возникают переодически, особенно с yahoo, уж очень любит он посылать письма с хостов типа web312-534-635.yahoo.com , причём не шутка, сам заходил отсылал...
не изобретайте велосипед - все уже придумано - graylist + spamd рулят!!!
Ну а тех, кто все-таки пролезет (коих будет очень мало) - вручную добавить в стоп-лист.
Ну вообще меня удивляет то как на автора поста накинулись, он же вполне кооректно указал следующее:"Использую также SASL2 для аутентификации (это не обязательно) и PCRE (аналог regexp)"
- кому не надо - отрубаем"количество RBL серверов регулируйте сами"
- правильно, это настраивается индивидуально# здесь у меня пусто, но можно ввести свой контроль
- ну просто у человека система новая, не успел он еще файлик access позаполнятьВ целом для запуска Postfix с базовой фильтрацией сойдет, тюниг это вопрос отдельный.
НЕ ИСПОЛЬЗУЙТЕ Spamhaus !Сразу несколько государственных организаций по борьбе с мошенничеством и отмыванием денег ведут расследования по Стивену Линфорду и его компаниям.