postfix 過濾垃圾郵件徹底研究
文章轉載 https://www.ubuntu-tw.org/modules/newbb/viewtopic.php?topic_id=46930
最近重新爬文研究 postfix 過濾垃圾郵件的部份
發覺網路上的中文資料很多都寫的不明不白,有些甚至是錯誤的。
我整理出一個比較合理的,參考看看:
若有錯誤也歡迎指正,大家互相交流 ^^
###########################################
# ★ 3. 垃圾郵件 過濾機制 規則 設定 #
###########################################
# 說明:
# 1.過濾規則有順序性,請合理安排先後順序,以便達到最佳效能。
# 2.一旦規則命中,就不會繼續往下比對。
# 3.當每行的第一個字為空白(tab或空白鍵)的文字列皆被視為上一列的延續。
# 4.同一個項目的設定,不可斷行,隔行會被視為結束。
# 5.FQDN (Fully Qualified Domain Name) 是指主機+網域名稱,比如:mail.xxx.com。
#
####################
# 可用的通用規則 #
####################
#
# 允許:
# permit_mynetworks ←允許來自 $mynetworks 的「寄信人」。(預設值)
# permit_sasl_authenticated ←允許經本機 SASL 驗證過的「寄信人」。(預設值)
#
# 拒絕(本機快速比對部份,較快):
# reject_unauth_destination ←拒絕「收件人」不在Postfix 所轄的網域(預設值)
# (所轄的網域由 $mydestination 定義)。
# reject_non_fqdn_hostname ←拒絕 HOLO 信號沒有 FQDN。
# reject_non_fqdn_sender ←拒絕「寄信人」沒有 FQDN。
# reject_non_fqdn_recipient ←拒絕「收信人」沒有 FQDN。
# reject_invalid_hostname ←拒絕「寄信人」「收信人」FQDN 不合網域名稱規則。
#
# 拒絕(需要連網查資料的比對部份,較慢):
# reject_unknown_sender_domain ←拒絕「寄信人」網域不存在。
# reject_unknown_recipient_domain ←拒絕「收件人」網域不存在。
#
#
# ★ reject_rbl_client [線上的黑名單資料庫] ★
# 使用指令 dig [黑名單資料庫] 測試網站是否還存活,存活才加進去。
#
# ★ check_sender_access hash:/etc/postfix/sender_vip.txt ★
# 允許「 VIP 寄信人」的網域直接通過,不做任何過濾。
# 「VIP 寄信人」網域清單,編輯在 sender_vip 這個檔案。
# 此規則請放在適當位置,才有優先效果。
#
# ★ check_sender_access hash:/etc/postfix/spam_domain.txt ★
# 僅對 spam_domain 清單檔案內的網域,進行 reject_unverified_sender 進階確認
# 「寄信人」進階確認可識破偽裝的網域,但需要花費 9秒以上時間
# 比如垃圾郵件「寄件人」用 gmial.com、yahoo.com 等偽裝,但實際上並不從那些主機寄出。
# 如常收到偽裝的垃圾郵件,可加入此項過濾。
# 此過濾需要花費大量時間,此規則建議放置末尾,黑名單前面,以利優化過濾速度。
#
# ★★ 外掛 postgrey 曙光 郵件過濾軟體 ★★
# 具體請參考「鳥哥私房菜」 postfix 一章教學。
# 此外掛過濾軟體會導致郵件晚幾秒或幾分鐘收到,但可有效過濾「單發型垃圾郵件」。
# 正常的郵件伺服器若第一次無法送達會重寄,而大部分的垃圾郵件發信機只發一次就不理。
# 若無安裝此 postgrey 軟體,以下此行請註解,否則 postfix 運作會出錯!
# check_policy_service unix:/var/spool/postfix/postgrey/socket
###############################################
# ★ 要求 MUA 發出 HELO 信號 #
###############################################
# 說明:
# 預設值:no
# 正常的 MUA 軟體在寄信時會發出 HELO 信號表明主機網域身份,
# 有些垃圾郵件軟體會忽略這個步驟,這可阻擋一部分垃圾郵件。
smtpd_helo_required = yes
###############################################
# ★ recipient 收信 過濾規則 #
# (防止收到垃圾信) #
###############################################
smtpd_recipient_restrictions =
permit_mynetworks
permit_sasl_authenticated
reject_unauth_destination
reject_non_fqdn_hostname
reject_non_fqdn_sender
reject_non_fqdn_recipient
check_sender_access hash:/etc/postfix/sender_vip.txt
reject_invalid_hostname
reject_unknown_sender_domain
reject_unknown_recipient_domain
reject_rbl_client cbl.abuseat.org
reject_rbl_client bl.spamcop.net
reject_rbl_client cblless.anti-spam.org.cn
reject_rbl_client sbl-xbl.spamhaus.org
check_policy_service unix:/var/spool/postfix/postgrey/socket
###############################################
# sender 寄信/轉遞 過濾規則 #
# (防止內部電腦中病毒,亂寄垃圾信) #
###############################################
# 說明:
# 一般不需要開啟。開啟會影響寄信/轉遞效率,或甚至信寄不出去。
# 有時內部電腦中病毒亂轉遞垃圾信,會導致被 ISP 封鎖 SMTP。
# 使用此項過濾,可大致過濾掉收件人不存在的垃圾信被亂寄出。
# 這個只有在允許內部網路不必 SASL 驗證即可轉遞的情況下,才需要開啟。
# 若轉遞只允許 localhost,也不需要開啟。
#smtpd_sender_restrictions =
# reject_non_fqdn_recipient
# reject_non_fqdn_sender
# reject_invalid_hostname
# reject_unknown_recipient_domain
###############################################
# client(MUA)發信端 過濾規則 #
# (進階用途過濾) #
###############################################
# 說明:
# 一般不會用到,除非想要非常嚴格的過濾。
# 通用規則在此項不適用,僅有幾個特別的規則是給此項專用。
#
# check_client_access [允許轉遞的清單檔案]
# 僅用於 smtpd_client_restrictions(MUA)發信端 過濾規則
# 範例:check_client_access hash:/etc/postfix/access
# "只有"列在清單檔案上的 IP、網段、主機名稱,才能與 postfix 連線。
# 此規則是用在 postfix 是組織內部聯絡專用主機的情況。
# 若 postfix 接收外面網路任何主機的郵件,此規則不可加入。
#
# reject_unknown_client
# 僅用於 smtpd_client_restrictions(MUA)發信端 過濾規則
# 當 MUA 連線時,若無法查詢該用戶端之 PTR(DSN 反解),則拒絕連線。
# 反解需要連網查詢,會花一些時間。
# 此規則不建議使用,因為很多私人或小公司架設的伺服器都沒有 PTR 反解。
#smtpd_client_restrictions =
# check_client_access hash:/etc/postfix/access
# reject_unknown_client
###############################################
# ★ 限制 Client (MUA) 的連線頻率 #
###############################################
#
# 說明:
# 1.此項設定用來防護 DoS 阻斷式洪水攻擊。
# 2.此處的 client (MUA) 是指來自某位的 clinet 的連線,
# 非 postfix 整體處理數。
# postfix 計算 client (MUA) 連線數以多久時間為一「週期單位」
client_connection_rate_time_unit = 60s
# 在上面那個「週期單位」內,允許每個 client (MUA) 的最大連線數
smtpd_client_connection_rate_limit = 30
# 限制每個 clinet (MUA) 同一時間的最大連線數
smtpd_client_connection_count_limit = 20
# 在上面那個限制同一時間最大連線數,要允許例外的主機
# 預設已經允許 $mynetworks 不受限制
# 可設多組,多組以逗號隔開
#
# 參考可用的變數:
# $mydestination(通常是 $myhostname + $mydomain)
# $myhostname
# $mydomain
#smtpd_client_connection_count_limit_exceptions = $mynetworks,
因為論壇不支援 code 排版的關係,上面擷取的部份比較亂
完整版本的 main.cf 下載:(有排版)
註解中文程度約 80%,大部分關鍵的設定都有中文化
http://www.box.com/s/2gmtps3fod4ly7gfphvh
-----------------------------------------------------------
說明:
1. 關於主要的過濾三個段落解析
smtpd_recipient_restrictions = 收信 限制(input 防火牆)
smtpd_sender_restrictions = 寄信 限制(output 防火牆)
smtpd_client_restrictions = client(MUA)限制
recipient 英文收信的意思
restrictions 限制的意思
sender 英文是寄信者的意思,但這邊是指寄信
這三段限制,可以看作防火牆的三個鏈,這樣會比較容易理解
在過濾垃圾郵件的時候
其實只有 smtpd_recipient_restrictions (input)需要用到
因為我們過濾垃圾郵件,是不想「收到」垃圾郵件
是要在 input 那邊做過濾
在「寄信」(output)那邊進行過濾,就顯得不合理
「寄信」是指內部的人透過 postfix 轉遞把信寄出去時過濾
那麼為什麼要去過濾自己寄出的信?
胡亂過濾一通,反而還導致郵件寄不出去!
除非一種情況:內部有電腦中病毒,亂發垃圾郵件
而 client 限制,是專門針對 MUA端電腦主機 進行過濾。
client 端,可以是遠端不認識的人,也可以是自己內部的人。凡是要與 postfix 主機連線的,都是 client 端。
client 端的限制屬於比較特殊,能用的規則不多,通用規則在那邊並不適用,通常都是針對 IP 或主機名稱過濾,大部分只會用到一個過濾規則,即 PTR(DNS 反解)。
2.防火牆的過濾規則,有優先順序
從最前面開始,一條一條規則往下比對,一旦命中,就會做出相應的處理(放行 或 丟棄),而停止繼續往下比對。若所有規則都沒命中,最後的預設處理原則是放行。
所以這些規則在排列順序的時候,必須考慮到「優化」,讓過濾的速度更快些。
比方說:
一開始該放行的,先放行,來自內部網路自己人的郵件,直接放行,不再往下過濾。
檢查 HOLO 信號,和檢查 FQDN 完整性的,這是在本機直接檢查,比較快,就要放前面。
檢查 domain 網域名稱是否正確(即是和 DNS 伺服器查詢正解,判斷那台網域主機是否存在),這個需要連網查詢,比較慢,應該放後面。
而檢查 rbl 黑名單的,需要先去黑名單主機下載黑名單,然後還要進行比對,這個很慢,應該放最後面。
有另外安裝額外的過濾軟體,比如:曙光垃圾郵件過濾軟體,這個最慢,因為該軟體會先扣押來信數秒,若對方有重寄,才放行,用來防止單發型的垃圾郵件,因為最終絕招,也是最慢,所以要放最後面。
3.另外還有一個 "限制連線頻率" 的設定
這個和過濾垃圾郵件無關,主要是保護 postfix 主機免受 DoS 阻斷服務式洪水攻擊。
有些惡意的人可能寄來正確格式的郵件,因為是正確格式,垃圾郵件過濾規則,過濾不了。但是他可能一秒寄上萬封,postfix 處理不暇,導致 cpu 和 網路頻寬 負載太高,服務就會被阻斷。
考慮到這種情況的可能性,所以連線頻率也必須加以限制。
---------------------------------------------------
其它心得:
關於「SASL 認證」是否必要的迷思:
dovecot(套件:dovecot)是負責 POP3、POP3s、IMAP、IMAPs 等協定的支援
saslauthd(套件:cyrus-sasl)是負責 SASL 認證支援
SASL 認證,主要用於 postfix 「轉遞」郵件時的認證保護
白話的說,就是想利用 postfix 寄信的時候,需要帳號密碼登入
寄信是指:postfix 主機,自己 localhost 直接寄出信件
轉遞(relay)是指:postfix 以外的任何地方主機,欲透過 postfix 主機寄出信件,這個行為叫做轉遞。
之所以「轉遞」要做「SASL認證」(要登入驗證身份才給轉遞)
是因為不希望阿貓阿狗不認識的人,都來偷轉遞寄信
但是,假如 postfix 主機本身就有架設 web mail(比如:Roundcube),且所有使用者都是透過瀏覽器上 web mail 來收發信。
因為 web mail 軟體就裝在 postfix 那台主機,收發信都是直接 localhost 連線的。
這個情況下,其實 cyrus-sasl(SASL 認證) 不用裝,也不用開啟。只要在 postfix 的設定中,設定成只允許 localhost 127.0.0.1 轉遞,那麼 postfix 就"不會接受" localhost 以外的位址進行轉遞。
既然不會接受 localhost 以外的位址進行轉遞,那麼當然也就沒必要去驗證轉遞者的身份了。因為根本就不會轉遞了,轉遞功能已經被關閉了。
不過 dovecot 仍要裝和開啟,因為 web mail 軟體是使用 IMAP 或 IMAPs 協定與 postfix 連線的。
-----------------------------------------------------------
參考的網路資料:
Postfix 三十天就上手-Day 22 ~ 30
---------------------------------------------
http://ithelp.ithome.com.tw/question/10078139
http://ithelp.ithome.com.tw/question/10078302
http://ithelp.ithome.com.tw/question/10078506
http://ithelp.ithome.com.tw/question/10078814
http://ithelp.ithome.com.tw/question/10079113
http://ithelp.ithome.com.tw/question/10079349
http://ithelp.ithome.com.tw/question/10079659
http://ithelp.ithome.com.tw/question/10079923
http://ithelp.ithome.com.tw/question/10080091
留言列表