Forum Debian Users Gang

hello_world · 2012-07-14 11:09:11

Czesć

Czy macie wiedzę jak najlepiej wykorzystać opcje dostępne tylko w plikach konfiguracyjnych Postfiksa aby jak najmniej ingerować dodatkowymi programami.
Mam jeden serwerek dla ok 30 kont i mam wrażenie że nie za bardzo dostatecznie wykorzystuję pewne opcje dotyczące filtrowania(albo za dużo wytnę albo za bardzo rozluźnię) na poziomie client, helo, sender itd.
Czy macie jakieś sprawdzone scenariusze?
Z góry bardzo dziękuję

Jacekalex · 2012-07-14 14:34:09

Postfix ma trochę własnych filtrów, ale z moich obserwacji wynika, że w porownaniu "praktycznym" z spf, spamassassinem, clamem, czy dkim, są delikatnie rzecz biorąc niewiele warte.

Sam mam przygotowaną konfigurację Postfixa na przyszłosć, jakby była potrzebna do roboty (Qmail ma częsć łatek niezgodnych z IPv6), i postarałem się odtworzyć wszystkie możliowści oferowane przez moją konfigurację Qmaila, czyli np Amavisd przez socket - sprawdza wirusy przy autoryzacji, Clamav-milter sprawdza pocztę na porcie 25 i odbija wirusy w sesji smtp (na porcie 25 autoryzacja wyłączona, na 465 i 587 obowiązkowa), Amavisd przez soket unix, sprawdzanie dkim i podpis dkim przez soket unix, spf sprawdzany w sesji smtp.

Cały bajzel działał ładnie, nie udało mi się go w domu przetestować porządnie, bo akurat mi wyłączyli (ISP) port 25, ale zapuścilem go na moment przez VPS (połączenie tunelem SSH) i szło to nieźle, choć zabawy z firewallem, żeby Postifix myślał, ze jest na prawdziej rurce internetowej trochę było ;)

Filtry i część konfiguracji robiłem wg tego:
http://www.lemat.priv.pl/index.php?m=page&pg_id=90

Tu są moje wypociny:
http://jacekalex.sh.dug.net.pl/postfix/main.cf
http://jacekalex.sh.dug.net.pl/postfix/master.cf

Chętnie przeczytam jakś opinię na ich temat, choć ostrzegam, że konfiguracja jeszcze nie zaliczyła prawdziwego "przeglądu frontowego", choć na testach konstrukcja sprawdza sie nieźle.
Całość przystosowana do pracy ze skrzynkami vpopmaila, (do sprawdzania na wejściou musialem wszystkie skrzynki wpopmaila dorzucić do bazy postfixadmina), korzysta z SASL w Dovecot-auth przez socket, Amavisd przez socket lmtp, Postfix z Amavisa dostaje przez socket smtpu, port 10025 otwrty tylko i wyłącznie dla vacation.pl - z obowiazkową autoryzacją.
Spamassasin podpięty niezależnie od Amavisa, ponieważ Amavis nie dorósł do honorowania ustawień Spa
massassina umieszczonych w SQL, i zarządzanych z poziomu Roundcube - sa-user-prefs, Spamc nie ma z tym zadnego problemu.
Sprawdzanie podpisu dkim i dk na wejściu (port 25), podpisywanie na końcu kolejki (jednorazowo).

Stąd prawie wszystkie filtry są nadpisane w master.cf, osobno dla każdego portu.
Usługi Smtpd zamknięte w chroocie, poprzez master.cf

Procesy do podpisywania / sprawdzania podpisów?

Kod:

milter    1960  0.0  0.0  93500  2180 ?        Ssl  06:44   0:00 /usr/sbin/dkim-filter -u milter -p local:/var/spool/postfix/filtry/dkim-sign.sock -P /var/run/dkim-sign.pid -b s -m ORIGINATING -c relaxed/simple -S rsa-sha256 -d domena.tld -s default -k /etc/domainkey/domena.tld/default -l
milter    1961  0.0  0.0  69212  2180 ?        Ssl  06:44   0:00 /usr/sbin/dkim-filter -u milter -p local:/var/spool/postfix/filtry/dkim-verify.sock -P /var/run/dkim-verify.pid -b v -l

Konfig amavisd: http://jacekalex.sh.dug.net.pl/postfix/amavisd.conf
Też działa ;)
TODO (zostało do zrobienia):
Amavisd, clamav-milter, postgrey, policy-spf, dkim też do chroota. ;)

Całosć wyglada strasznie, działa nieźle , wszelkie uwagi mile widziane ;)

Pozdrawiam
;-)

Forum Debian Users Gang

Ogłoszenie

#1 2012-07-14 11:09:11

hello_world - Członek DUG

Najlepsze wykorzystanie opcji w Postfiksie

#2 2012-07-14 14:34:09

Jacekalex - Podobno człowiek...;)

Re: Najlepsze wykorzystanie opcji w Postfiksie

Kod:

Stopka forum