web-dev-qa-db-ja.com

受信者制限前のPostfixホワイトリスト

よし。いくつかの背景。 1日あたり約200万から300万件のメールを追跡するスパム対策クラスターがあり、エンドユーザーからのスパムメールの99%の範囲をブロックしています。

基礎となるSMTPサーバーはPostfix 2.2.10です。メールがSpamAssassin/ClamAV /などに転送される前の「最前線の防御」を以下に添付します。

...basic config....    
smtpd_recipient_restrictions =
            reject_unauth_destination,
            reject_rbl_client b.barracudacentral.org,
            reject_rbl_client cbl.abuseat.org,
            reject_rbl_client bl.mailspike.net,
            check_policy_service unix:postgrey/socket
...more basic config....

ご覧のとおり、さまざまな企業の標準RBLサービスとPostgreyサービスがあります。

問題は、私が1人のクライアント(数千人に1人)がいて、彼らの重要な電子メールをブロックしたことに非常に動揺していることです。 3つのRBLサーバーのうち2つで現在ブロックされているロシアのフリーメーラーを介して送信されました。状況を説明しましたが、メールのanyはブロックしないと主張しています。

したがって、domain.comに送信されるすべての電子メールをホワイトリストに登録する方法が必要ですが、受信者の制限の前にそれを実行する必要があります。RBLやポストグレーブロックはまったく必要ありません。

私は少し自分で調査しました http://www.howtoforge.com/how-to-whitelist-hosts-ip-addresses-in-postfix 最初は良いガイドのようでした、almost問題を解決していますが、元のサーバーではなく、TOアドレスに基づいて受け入れます。

5
grufftech

RCPT TOアドレスに基づいて処理を行う場合、それ以上のスパムチェックが無効になるため、この人にスパムが殺到します。

唯一のオプションは、check_sender_accessを使用することです。

smtpd_recipient_restrictions =
            check_client_access hash:/etc/postfix/access_sender
            reject_unauth_destination,
            reject_rbl_client b.barracudacentral.org,
            reject_rbl_client cbl.abuseat.org,
            reject_rbl_client bl.mailspike.net,
            check_policy_service unix:postgrey/socket

そのようです:

[email protected]      OK
domain.com               OK
fromuser@                OK

作成後はpostmap access_senderを忘れないでください。

5
solefald