Могу сказать одно — «При настройке защиты вашего сервера от спама, будьте в сотню раз осторожней, чем с младенцем!» — иначе получите очень интересные результаты…

Поведаю вам о важных настройках почтового сервера для значительного уменьшения количества приходящего спама. Почему я говорю об «уменьшении»?
Ответ очевиден — невозможно защитить почтовый сервер на 100% от спама из-за недремлющих спаммеров — каждый день они стараются придумывать все новые варианты обхода наших с вами защит.

Данные рекомендации я буду рассматривать на базе Linux сервера с установленным postfix.
В данном случае, какой дистрибутив Linux у вас стоит — не важно.

Каждый уважающий себя ит-шник, который настраивал почтовый сервер знает о прямой и обратной зоне.
Я до сих пор иногда сталкиваюсь с почтовыми серверами которые не прописаны в данных зонах. Практически в 99% случаях такие сервера будут считаться спаммерскими. Почему?
Потому что самый распространенный способ рассылать спам — это рассылка от не существующих серверов и, следовательно, не прописанных в DNS. Для того, чтобы ваш сервер не считали спаммерским нужно сделать две вещи:
1. В прямой зоне DNS прописать ip-адрес своего почтового сервера. Прямую зону можете обслуживать вы сами, ваш хостинг-провайдер или провайдер интернет-услуг.
2. В обратной зоне DNS вы также должны прописать ваш почтовый сервер. В данном случае вы должны попросить внести такую запись вашего провайдера интернет-услуг (достаточно письменной просьбы).

Если у вас эти два условия выполняются, то в 99% случаях ваш почтовый сервер не будут считать спаммерским.
Иногда это не так — если ваш IP-адрес сервера случайно или намеренно попал в черный список спам-листов, вам придется разбираться с этим своими силами…

Теперь поговорим о нашей с вами защите.
У Posfix имеется конфигурационный файл настроек, в который мы и будем прописывать наши дополнительные проверки на спам. Файл называется main.cf. Данные настройки будем добавлять в существующие блоки.

Приступим:
1. Данный параметр заставляет сервер принимать почту только от «здоровающихся» серверов. Многие спаммеры не любят пересылать строку «helo»

smtpd_helo_required = yes

2. В данной секции рассматриваются правила приема почты нашим сервером

smtpd_recipient_restrictions =

Параметр разрешающий аутентификацию по логину-паролю(если SSL у вас не настроен — уберите этот параметр, иначе логины и пароли ваших пользователей пойдут в «открытом виде»)

permit_sasl_authenticated,

Параметр указывающий postfix получать почту от определенных ip адресов (как я и говорил раньше — есть сервера, которые не прописаны в прямой/обратной зонах и их не хотят прописывать или некому). Не забудьте после добавления ip-адресов выполнить команду “#postmap /etc/postfix/access”, иначе postfix не будет обрабатывать файл

check_client_access hash:/etc/postfix/access,

Иногда встречаются пользователи, которые хотят получать спам…
Данное правило указывает на файл, в котором содержаться адреса почтовых ящиков, на которые мы по-любому будем получать почту. Не забудьте про postmap.

check_recipient_access hash:/etc/postfix/recipient_access,

Если имя сервера отправляющей стороны не правильное — говорим «до свидание!»

reject_invalid_hostname,

Если имя сервера отправляющей стороны не соответствует FQDN — отстреливаем таких

reject_non_fqdn_hostname,

Если имя отправителя не соответствует FQDN — отстреливаем

reject_non_fqdn_sender,

Если имя получателя не соответствует FQDN — отстреливаем

reject_non_fqdn_recipient,

Проверяем домен на записи типа A и MX в DNS — если нет, то отстреливаем

reject_unknown_sender_domain,

В документации postfix сказано «блокирует почту от несуществующих доменов»

reject_unknown_recipient_domain,

Разрешаем получать письма от адресов, которые перечислены в параметре mynetworks (в данном параметре указываете адреса своих пользователей, почтовых серверов)
permit_mynetworks,

Защита от посылки smtp-команд до момента выяснения, поддерживает ли такие команды postfix
reject_unauth_pipelining,

Данный правило отстреливает письма до тех пор, пока не выполниться одно из двух условий смотреть здесь. Достаточно сложно в двух словах перевести данные условия.

reject_unauth_destination,

Ниже перечислены правила проверки хостов (почтовиков, которые шлют нам почту) на содержание их в блэк-листах. Данный список у меня работает уже около года периодически убираю мертвого или добавляю нового

reject_rbl_client zombie.dnsbl.sorbs.net,
reject_rbl_client cbl.abuseat.org,
reject_rbl_client zen.spamhaus.org,
reject_rbl_client bl.spamcop.net,
reject_rbl_client multihop.dsbl.org,
reject_rbl_client work.rsbs.express.ru,
reject_rbl_client dnsbl.sorbs.net,

И на закуску делаем проверку с помощью PostGrey.
Остановимся на данном правиле по подробнее. Данная утилитка представляет собой сервис проверки почтовых серверов через серые списки, которые сама ведет.
Принцип работы следующий — почтовик стучится к нам в гости, postgrey смотрит свой список и не находит там стучащегося сервера. Далее он заносит этот сервак в серый список, а стучащему серваку сообщает, что «сервис пока не доступен, ты в сером списке, попробуй позже».

Далее происходит следующее:
— если почтовик хороший, то он повторно пришлет письмо (в этом случае postgrey его пропустит, а после 5-ти принятых от этого сервера писем, запишет в белый список).
— если спамер, то он, в 99,9% не будет повторно ломиться и отсылать письмо (в этом случае спам не придет, а ссылка убьется)
— если спамер настойчив, то postgrey занесет его в черный список, так как postgrey использует задержку в 5 минут. Если в течении этого времени стучащийся ломанется к нам в гости, то его пошлют подальше и запишут в черный список.

Вы можете задать вопрос: «А это нормально, что письма могут ходить с задержкой?»
Ответ: «Нормально, так как posgrey работает на основе RFC. Если сервак чистый, то на второй попытке письмо придет, а после 5-го письма он перейдет в белый лист.»
Также существует возможность добавить явно чистые почтовики — достаточно их прописать в файле.

Установка (у меня Fedora 9) проста — #yum install postgrey

Настройка еще проще:
postgrey_whitelist_clients — файл с указанием почтовиков, от которых принимаем почту всегда
postgrey_whitelist_recipients — файл с указанием получателей, для которых почту принимаем всегда

В файле postgrey_whitelist_clients желательно убить все записи, они сгенерированы разработчиком и, честно говоря, они нам не нужны. Добавьте только те почтовики, которым доверяете.

Я на начальном этапе добавил вот эти:

mail.ru
yandex.ru
rambler.ru
gmail.com
beeline.ru
post.ru
pochta.ru
hotmail.com
hotmail.ru
yahoo.com
hotbox.ru
masterhost.ru
nic.ru
list.ru
bk.ru
inbox.ru
job.ru

Остается только запустить postgrey как сервис:

# chkconfig postgrey on
# service postgrey start

дальше, если у пользователей возникнут проблемы, можно добавлять в этот файл и другие сервера.

check_policy_service unix:postgrey/socket,

Если почтовый сервер прошел все проверки — тогда милости просим!

permit

3. Этот блок для проверки секции SMTP DATA команд. Обычно стандартный блок, если хотите
узнать про правила в этом блоке, то вам сюда

smtpd_data_restrictions =
reject_unauth_pipelining,
reject_multi_recipient_bounce,
permit

4. Этот блок (как вы уже догадались) для проверки исходящей почты или пересылаемой через нас почты.
На уже описанных правилах я останавливаться не буду — описывать буду незнакомые.

smtpd_sender_restrictions =
permit_sasl_authenticated,
permit_mynetworks,
check_client_access hash:/etc/postfix/access,
check_recipient_access hash:/etc/postfix/recipient_access,
reject_invalid_hostname,
reject_non_fqdn_hostname,
reject_non_fqdn_sender,

Правило проверки соответствия ip и имени клиента

reject_unknown_client_hostname,

reject_unknown_sender_domain,
reject_unknown_hostname,
reject_rbl_client zombie.dnsbl.sorbs.net,
reject_rbl_client cbl.abuseat.org,
reject_rbl_client zen.spamhaus.org,
reject_rbl_client bl.spamcop.net,
reject_rbl_client multihop.dsbl.org,
reject_rbl_client work.rsbs.express.ru,
reject_rbl_client dnsbl.sorbs.net,
reject_rhsbl_sender dsn.rfc-ignorant.org
permit

Здесь как видите нет проверки с помощью Postgrey — она и не нужна. В противном случае, вы не сможете отсылать почту.

Данная конфигурация мне помогла и помогает до сих пор:
После установки почтового сервера общее число попыток прислать письмо на мой домен — 150.000 в сутки, с каждой неделей это число уменьшается за счет отработки правил (мой сервак потихоньку забывают спаммеры). На сегодняшний день это число уже около 15.000 в сутки. Я доволен результатом.

Я надеюсь, что данная статья поможет многим людям избежать навязчивых людей с рекламой!

Удачи!

P.S. И не забудьте после всех манипуляций перезагрузить postfix или перечитать его конфиг.

Взято с http://habrahabr.ru

/etc/postfix/master.cf:
smtp inet n – n – – smtpd -v

Это сделает SMTP сервер Postfix более информативным. Для диагностики проблемы с перезаписью адресов укажите опцию “-v” для демона cleanup(8) и/или trivial-rewrite(8), а для диагностирования проблем с доставкой почты укажите опцию “-v” для менеджера очереди qmgr(8) или oqmgr(8) или для агента доставки lmtp(8), local(8), pipe(8), smtp(8) или virtual(8).

# tcpdump -w /file/name -s 2000 host example.com and port 25

Запустите на некоторое время, затем остановите с помощью Ctrl-C. Для просмотра данных, используйте средство просмотра бинарных данных, ethereal или используйте мою утилиту tcpdumpx, которая доступна на ftp://ftp.porcupine.org/pub/debugging/.

/etc/postfix/main.cf:
debug_peer_list = 127.0.0.1

Вы можете указать один и более хостов, доменов, адресов или сетей/масок. Чтобы изменения вступили в силу немедленно, выполните команду “postfix reload”.

Пример ниже показывает SMTP сервер, настроенный с выключенным chroot режимом:

/etc/postfix/master.cf:
# =============================================================
# service type private unpriv chroot wakeup maxproc command
# (yes) (yes) (yes) (never) (100)
# =============================================================
smtp inet n – n – – smtpd

Просмотрите файл master.cf на наличие любых процессов, у которых не выключен chroot режим. Если вы найдете любой процесс, сохраните копию файла master.cf и внесите соответствующие изменения. После выполнения команды “postfix reload”, проверьте, исчезла ли проблема.

Если выключение chroot режима решает проблему, то поздравляем вас. Запуск Postfix в такой конфигурации, приемлемо для большинства сайтов. Если вы предпочитаете chroot режим, посмотрите файл Postfix BASIC_CONFIGURATION_README, насчет информации, как подготовить Postfix для chroot режима.

Postfix может производить два типа отчетов о доставке почты для отладки:

*Что-если: сообщает, что случилось бы, но не доставляет почту на самом деле. Этот режим работы запрашивается с помощью:

% /usr/sbin/sendmail -bv address…
Mail Delivery Status Report will be mailed to .

Отчет состояния доставки почты будет направлен на .

*Что случилось: доставляет почту и сообщает о успешных и/или неудачных доставках, включая ответы от удаленных SMTP серверов. Этот режим работы запрашивается с помощью:

% /usr/sbin/sendmail -v address…
Mail Delivery Status Report will be mailed to .

Эти отчеты содержат информацию сгенерированную, агентами доставки Postfix. Так как это запускает процессы демоны и не взаимодействует непосредственно с пользователями, результат посылается в виде почты, отправителю тестового сообщения. Формат этих отчетов фактически идентичен обычному уведомлению о недоставки.

Когда Postfix не получает или не доставляет почту, первым делом надо посмотреть ошибки, которые препятствуют Postfix работать правильно:

% egrep ‘(warning|error|fatal|panic):’ /some/log/file | more

Примечание: наиболее важное сообщение находится вначале вывода. Сообщения об ошибках, расположенные далее, менее полезны.

Характер каждой проблемы обозначается следующим образом:

*”panic” указывает, что проблема непосредственно в ПО и ее может исправить только программист. Postfix не сможет работать, пока не будет исправлена данная ошибка.
*”fatal” является результатом отсутствующих файлов, неправильных разрешений, неправильных параметров настройки конфигурационного файла, которые вы можете исправить. Postfix не сможет работать, пока не будет исправлена данная ошибка.
*”error” сообщает исправимое или не исправимое ошибочное состояние. Postfix не сможет работать, пока не будет исправлена данная ошибка.
*”warning” указывает на некритические ошибки. Это ошибки, которые вы не в состоянии исправить (например, неисправный DNS сервер, где-то в сети), но также могут указывать локальные ошибки конфигурации, которые могут стать проблемой позже.

Количество спама на моем сервере последнее время немного увеличилось, что стало напрягать меня и заставило задуматься о способах фильтрации и изучения софта для этого. Изучив кучу рукописных скриптов на просторах рунета понял что это не лучшее решение, так как в коментах почему то множество нелестных отзывов… Наткнулся на описание софтинки greylistd который прикручивается к exim, но у меня установлен postfix и это решение меня не устроило, но была найдена альтернатива для моего дистрибутива почтовика, называется она postgrey. Все Функции данной софтинки сводятся к простому reject’y почты от неизвестных ей отправителей на 5 минут и сообщении об этом с ссылкой на страничку где это и сообщается. По прошествии пяти минут при повторном обращении письмо пропускается.

Установка и настройка займет у Вас не более 5 минут, пакет имеется в стандартных репозиториях Ubuntu, Debian, и в других дистрибутивах Linux.
Установим пакет

aptitude install postgrey

Проверим работает ли демон

netstat -pan |grep 60000

Если все хорошо то вы увидите примерно следующее:

tcp 0 0 127.0.0.1:60000 0.0.0.0:* LISTEN 20345/postgrey.pid

Далее вы можете отредактировать конфиг файлы postgrey, они находятся в каталоге /etc/postgrey , вы найдете там два файла whitelist_clients и whitelist_recipients в первом файле содержится список хостов которым разрешено присылать вам почту без пятиминутной задержки, во втором файле хранятся ящики на которые письма будут так же приходить без всяких задержек. В принципе программа готова к работе сразу после установки, настроить дополнительные разрешенные сети можно позже.
Для объединения postfix и postgrey необходимо добавить одну строку в конфигурационный файл postfix Отредактируйте файл /etc/postfix/main.cf откройте его в редакторе, найдите строку smtpd_recipient_restrictions = и добавьте в ее конец запятую и check_policy_service inet:127.0.0.1:60000 что бы в результате у вас вышло примерно так

[....]
smtpd_recipient_restrictions = permit_mynetworks,permit_sasl_authenticated,reject_unauth_destination,check_policy_service inet:127.0.0.1:60000
[....]

Теперь перезапустим postfix и postgrey

/etc/init.d/postfix reload
/etc/init.d/postgrey restart

После этого заглянем в логи, там видны результаты работы postgrey

Jun 23 21:25:43 main-server postfix/smtpd[25432]: connect from ppp85-140-71-65.pppoe.mtu-net.ru[85.140.71.65]
Jun 23 21:25:45 main-server postgrey[20345]: action=greylist, reason=new, client_name=ppp85-140-71-65.pppoe.mtu-net.ru, client_address=85.140.71.65, sender=pebbledt602@coe-co.com, recipient=XXXXXX@sudouser.com
Jun 23 21:25:45 main-server postfix/smtpd[25432]: NOQUEUE: reject: RCPT from ppp85-140-71-65.pppoe.mtu-net.ru[85.140.71.65]: 450 4.2.0 : Recipient address rejected: Greylisted, see http://postgrey.schweikert.ch/help/sudouser.com.html; from=
to= proto=ESMTP helo=<08a50730d9ad491>
Jun 23 21:25:48 main-server postfix/smtpd[25432]: lost connection after DATA (0 bytes) from ppp85-140-71-65.pppoe.mtu-net.ru[85.140.71.65]
Jun 23 21:25:48 main-server postfix/smtpd[25432]: disconnect from ppp85-140-71-65.pppoe.mtu-net.ru[85.140.71.65]

На этом настройка окончена, можно наслаждаться отсутствием немалой доли спама, результат меня сильно поразил….

Взято с sudouser.com