Pengerasan Postfix Untuk ISPConfig 3

Pengerasan Postfix Untuk ISPConfig 3

Penulis:Jesús Córdoba
Email:j.cordoba [at] gmx [dot] net
Pengguna forum:pititis

Versi:1.2

Tujuan dari tutorial ini adalah untuk memperkuat postfix server email yang digunakan oleh ISPConfig untuk server email internet di mana pengguna yang diautentikasi dapat dipercaya. Dengan penyiapan ini, Anda akan menolak spam dalam jumlah besar sebelum masuk ke antrean email, menghemat banyak sumber daya sistem, dan membuat server email Anda kuat terhadap spammer dan botnet spam. Ayo.

DNS Terbalik, (Data PTR DNS)

Untuk mengatur rdns Anda akan menemukan dua situasi:

- ISP Anda memungkinkan Anda mengubahnya sendiri. Lihat di panel kontrol Anda.

- ISP Anda tidak mengizinkan Anda mengubahnya. Cukup kirim email dengan permintaan Anda.

Tanyakan atau arahkan catatan rdns Anda ke server Anda. yaitu server.example.comAnda dapat memeriksa rdns Anda dengan perintah host:

[email protected] / # host 149.20.4.69

 69.64-27.4.20.149.in-addr.arpa penunjuk nama domain pub2.kernel.org.

Ingat dns harus menyebarkan perubahan.

SPF Untuk Domain Anda (Data TXT DNS)

SPF adalah sistem validasi email yang dirancang untuk mencegah spam email dengan mendeteksi spoofing email, kerentanan umum, dengan memverifikasi alamat IP pengirim.

Untuk menyiapkan spf, Anda perlu menambahkan data TXT ke zona dns Anda, tetapi pertama-tama Anda dapat membuat data Anda di sini:http://www.mailradar.com/spf/

Salin hasil spf, lalu buka ISPConfig -> dns -> zones -> klik nama domain Anda -> klik tab record -> dan klik TXT

Nama host -> contoh.com. (dengan titik di akhir!)

Teks -> Tempel di sini hasil spf (tanpa " ").

Contoh:v=spf1 a mx ptr ip4:11.222.333.444 -all      …dan klik Simpan.

Ingat dns harus menyebarkan perubahan.

Postfix main.cf

Mari tambahkan/ubah sesuatu ke /etc/postfix/main.cf

Batasan halo:

smtpd_helo_required =yessmtpd_helo_restrictions =permit_mynetworks, permit_sasl_authenticated, reject_non_fqdn_helo_hostname, reject_invalid_helo_hostname

Helo pembatasan beraksi:

12 Jan 01:57:08 server postfix/smtpd[4687]:NOQUEUE:reject:RCPT from unknown[186.43.77.153]:450 4.7.1 Host klien ditolak:tidak dapat menemukan nama host Anda, [186.43.77.153]; from= to= proto=ESMTP helo=<[186.43.77.153]>8 Jan 00:32:22 server postfix/smtpd[17504]:NOQUEUE:reject:RCPT dari 201-93-87-2.dial-up.telesp.net.br[201.93.87.2]:504 5.5.2 :Perintah Helo ditolak:perlu nama host yang sepenuhnya memenuhi syarat; from= to= proto=ESMTP helo=

Rfc ketat:

strict_rfc821_envelopes =ya

Batasan klien:

smtpd_client_restrictions =permit_mynetworks, permit_sasl_authenticated, reject_unknown_client_hostname, check_client_access mysql:/etc/postfix/mysql-virtual_client.cf

Batasan penerima:

smtpd_recipient_restrictions =permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination, check_recipient_access mysql:/etc/postfix/mysql-virtual_recipient.cf, reject_unknown_recipient_domain

Batasan data:

smtpd_data_restrictions =reject_unauth_pipelining

Penundaan smtpd:

smtpd_delay_reject =ya

Jangan lupa reload postfix:

/etc/init.d/postfix memuat ulang

Periksa SPF Untuk Postfix (Debian Dan Ubuntu)

Instal paket spf:

apt-get install postfix-policyd-spf-python

atau

apt-get install postfix-policyd-spf-perl

Tambahkan ini ke /etc/postfix/main.cf :

policy-spf_time_limit =3600 detik

dan tambahkan check_policy_service unix:private/policy-spf di akhir smtpd_recipient_restrictions:

smtpd_recipient_restrictions =permit_mynetworks, permit_sasl_authenticated, check_recipient_access mysql:/etc/postfix/mysql-virtual_recipient.cf, reject_unauth_destination, reject_unknown_recipient_domain, check_policy_service unix:spf

Sekarang edit master.cf dan tambahkan di akhir ini (untuk versi python):

policy-spf unix - n n - - spawn user=nobody argv=/usr/bin/policyd-spf 

atau ini untuk versi perl:

policy-spf unix - n n - - spawn user=nobody argv=/usr/sbin/postfix-policyd-spf-perl

…muat ulang postfix.

/etc/init.d/postfix memuat ulang

Tindakan pemeriksaan spf:

4 Jan 15:50:11 server postfix/smtpd[19096]:NOQUEUE:reject:RCPT from g230068165.adsl.alicedsl.de[92.230.68.165]:550 5.7.1 :Penerima alamat ditolak:Pesan ditolak karena:SPF gagal - tidak diotorisasi. Silakan lihat http://www.openspf.org/Why?s=helo;id=paxxxxxn.com;ip=92.230.68.165;[email protected]; from= to= proto=ESMTP helo=

Daftar abu-abu

Greylisting adalah metode untuk melindungi pengguna email dari spam. Agen transfer surat (MTA) yang menggunakan daftar abu-abu akan "menolak sementara" email apa pun dari pengirim yang tidak dikenalnya. Jika email tersebut sah, server asal akan, setelah penundaan, mencoba lagi dan, jika waktu yang cukup telah berlalu, email akan diterima.

Menginstal postgrey (Debian, Ubuntu):

apt-get install postgrey

Opsi konfigurasi ada di /etc/default/postgrey ( default delay adalah 5 menit).

Edit main.cf dan tambahkan check_policy_service inet:127.0.0.1:10023 di akhir smtpd_recipient_restrictions:

smtpd_recipient_restrictions =permit_mynetworks, permit_sasl_authenticated, check_recipient_access mysql:/etc/postfix/mysql-virtual_recipient.cf, reject_unauth_destination, reject_unknown_recipient_domain, check_policy_service/unixpolicy:127.0.0.1/checket_policy:private:/layanan pra-kebijakan:12. 

 …muat ulang postfix:
 
/etc/init.d/postfix memuat ulang
 

 Daftar abu-abu beraksi:
 
10 Jan 17:38:57 server postfix/smtpd[21302]:NOQUEUE:reject:RCPT from mailout-de.gmx.net[213.165.64.22]:451 4.7.1 :Penerima alamat ditolak:Daftar abu-abu berlaku, silakan kembali lagi nanti; from= to= proto=SMTP helo=
 

 
 
DNSBL (DNS Based Blacklist/Blocklist)
 

 DNSBL adalah daftar alamat ip yang dipublikasikan melalui Internet Domain Name Service (DNS) baik sebagai file zona yang dapat digunakan oleh perangkat lunak server DNS, atau sebagai zona DNS langsung yang dapat ditanyakan secara real-time. DNSBL paling sering digunakan untuk mempublikasikan alamat komputer atau jaringan yang terkait dengan spam; sebagian besar perangkat lunak server surat dapat dikonfigurasi untuk menolak atau menandai pesan yang telah dikirim dari situs yang terdaftar pada satu atau lebih daftar tersebut. Ini mungkin termasuk daftar alamat komputer zombie atau mesin lain yang digunakan untuk mengirim spam, daftar alamat ISP yang bersedia menampung spammer, atau daftar alamat yang telah mengirim spam ke sistem honeypot. Untuk menggunakan dnsbl dengan postix, kami menggunakan reject_rbl_client. Cukup tambahkan beberapa zona dns langsung untuk kueri ke dalam file main.cf.
 

 Dalam contoh saya, saya akan menggunakan dua daftar dengan reputasi yang sangat baik (ditambahkan ke akhir smtpd_client_restrictions):
 
smtpd_client_restrictions =permit_mynetworks, permit_sasl_authenticated, reject_unknown_client_hostname, check_client_access mysql:/etc/postfix/mysql-virtual_client.cf, reject_rbl_client cbl.abuseat.org, reject_rbl_client b.org 

 rbl beraksi:
 
12 Jan 01:52:42 server postfix/smtpd[4616]:NOQUEUE:tolak:RCPT dari 89.pool85-49-26.dynamic.orange.es[85.49.26.89]:554 5.7.1 Layanan tidak tersedia; Host klien [85.49.26.89] diblokir menggunakan cbl.abuseat.org; Diblokir - lihat http://cbl.abuseat.org/lookup.cgi?ip=85.49.26.89; from= to= proto=SMTP helo=11 Jan 20:13:58 server postfix/smtpd[29591]:NOQUEUE:tolak:RCPT dari 93 -87-122-56.dynamic.isp.telekom.rs[93.87.122.56]:554 5.7.1 Layanan tidak tersedia; Host klien [93.87.122.56] diblokir menggunakan b.barracudacentral.org; http://www.barracudanetworks.com/reputation/?pr=1&ip=93.87.122.56; from= to= proto=ESMTP helo=
 
Layar pasca
 

 Catatan:Fitur ini tersedia di Postfix 2.8 dan yang lebih baru
 

 Daemon postscreen Postfix memberikan perlindungan tambahan terhadap server email yang berlebihan. Satu proses postscreen menangani beberapa koneksi SMTP masuk, dan memutuskan klien mana yang dapat berbicara dengan proses server SMTP Postfix. Dengan menjauhkan robot spam, postscreen membuat lebih banyak proses server SMTP tersedia untuk klien yang sah, dan menunda timbulnya kondisi kelebihan server. 
 

 Tantangan utama untuk postscreen adalah untuk membuat keputusan is-it-a-zombie berdasarkan satu pengukuran. Ini diperlukan karena banyak zombie mencoba terbang di bawah radar dan menghindari spam situs yang sama berulang kali. Setelah postscreen memutuskan bahwa klien bukan zombie, itu memasukkan klien ke daftar putih sementara untuk menghindari penundaan lebih lanjut untuk surat yang sah. 
 

 Kami akan menggunakan untuk tutorial ini pengaturan default dengan pengecualian. Pengaturan ini baik untuk sebagian besar situasi
 

 Pertama, kita tambahkan satu baris ke main.cf dengan perintah:
 
postscreen_greet_action =menegakkan
 

 Kedua, kami menambahkan postscreen dan beberapa layanan baru ke master.cf Catatan:Pengaturan ini sudah ada, cukup batalkan komentar. Pastikan juga bahwa baris "smtp inet ... smtpd", termasuk parameter apa pun dikomentari (jika ada, parameter harus dipindahkan ke layanan smtpd baru).
 
# File konfigurasi proses master Postfix. Untuk detail tentang format# file, lihat halaman manual master(5) (perintah:"man 5 master").## Jangan lupa untuk menjalankan "postfix reload" setelah mengedit file ini.## ==========================================================================# jenis layanan private unpriv chroot wakeup perintah maxproc + args# (ya) (ya) (ya) (tidak pernah) (100)# ==========================================================================#smtp inet n - - - - smtpd# -o ...smtpd pass - - n - - smtpd -o ... # Parameter dipindahkan dari layanan smtp ke layanan smtpd baru.(jika ada)smtp inet n - n - 1 postscreentlsproxy unix - - n - 0 tlsproxydnsblog unix - - n - 0 dnsblog
 

 Sekarang, kita memuat ulang postfix:
 
/etc/init.d/postfix memuat ulang