postfix i góra spamu

Serwery i sieci oparte na Slackware, wszelkiego rodzaju usługi, troubleshooting.

Moderatorzy: Moderatorzy, Administratorzy

majsterq
Użytkownik
Posty: 20
Rejestracja: 2006-07-08, 14:28
Kontakt:

postfix i góra spamu

Post autor: majsterq » 2009-01-30, 10:13

Witam
Na początek krótki opis sytuacji:
W mojej firmie (około 200 użytkowników) prowadzę serwer poczty. Średnio miesięcznie obciążenie mailami to około 300tyś z czego moje filtry wyłapują 95% syfu i na konta użytkowników dociera około 20tyś maili miesięcznie z czego jakieś 60% z tego to pożądane.
Problem w tym, że pośród tej nielicznej ilości spamu zdecydowana większość to maile w których nadawca to mój użytkownik a ip z którego zostały nadane to jakiś internetowy adres a nie ip mojej lokalnej sieci.
Użytkownicy powinni mieć możliwość wysyłania poczty tylko i wyłącznie z sieci lokalnej i z VPN'u i takie było założenie główne.
Najgorsze jest to, że sprawdziłem i z zewnątrz mogę się zatelnetować na port 25 i wysłać maila na dowolny adres mailowy mojej sieci a jak w dodatku podam jako adres nadawcy też jakiś adres z mojej sieci to spamassassin wogóle nie oznacza wartości HIT w logach amavisa :(
I teraz mam dylemat, bo mógłbym zablokować port 25 na firewallu i sprawa by się rozwiązała jednak wtedy mój serwer się nie będzie komunikował z resztą świata.
Czy ktoś mi może wyjaśnić jak to uszczelnić aby wiadomości gdzie nadawca jest adresem mojej lokalnej sieci mogły być wysyłane tylko i wyłącznie z określony podsieci jak np moja sieć lokalna lub sieć VPN
Pozdrawiam

topdolar
Użytkownik
Posty: 389
Rejestracja: 2006-10-05, 18:35

Re: postfix i góra spamu

Post autor: topdolar » 2009-01-30, 18:28

a masz autentykacje ? sasl?

majsterq
Użytkownik
Posty: 20
Rejestracja: 2006-07-08, 14:28
Kontakt:

Re: postfix i góra spamu

Post autor: majsterq » 2009-02-01, 16:23

Witam

Tak szyfrowanie jest włączone, klienci wewnątrz sieci łączą sie z programu thunderbird używając portów 465 i 995 i do sieci lokalnej na firewallu są otwarte tylko te 2 porty, serwer na świat ma otwarty tylko i wyłącznie port 25 do wysyłania i odbierania maili.

Pozdrawiam

Awatar użytkownika
Outlaw
Administrator
Posty: 2861
Rejestracja: 2004-06-29, 22:23
Lokalizacja: eth0
Kontakt:

Re: postfix i góra spamu

Post autor: Outlaw » 2009-02-01, 22:09

Nie chodzi o szyfrowanie wiadomości przez SSL tylko o uwierzytelnianie ich przy próbie wysłania maila.
Pokaż co masz po zalogowaniu się lokalnie:

Kod: Zaznacz cały

telnet localhost 25
i później wklep

Kod: Zaznacz cały

ehlo localhost 

Awatar użytkownika
kyan
Użytkownik
Posty: 114
Rejestracja: 2008-04-22, 05:35
Lokalizacja: /home/kyan/

Re: postfix i góra spamu

Post autor: kyan » 2009-02-02, 06:11

Outlaw pisze:i później wklep

Kod: Zaznacz cały

ehlo localhost 
chyba

Kod: Zaznacz cały

helo localhost
;)

edit:
racja Outlaw ehlo :) nie znalem tego...
Ostatnio zmieniony 2009-02-07, 05:08 przez kyan, łącznie zmieniany 1 raz.


grzenon
Użytkownik
Posty: 4
Rejestracja: 2008-07-15, 10:28

Re: postfix i góra spamu

Post autor: grzenon » 2009-02-06, 22:54

Z tego wynika że pisza sami do siebie z domów gdzieś w Azji ;)
Spróbuj tego w main.cf:

Kod: Zaznacz cały

# REJECTING MAIL FOR UNKNOWN LOCAL USERS
# w przypadku nieistniej.cego usera zwracamy kod błędu 550, czyli REJECT,
# standardowo jest 450(spróbuj ponownie później) - dla bezpieczeństwa
# przy uruchamianiu/testowaniu postfixa
unknown_local_recipient_reject_code = 550 

# TRUST AND RELAY CONTROL
# lista interfejsów, na których nasłuchujemy...
mynetworks = 127.0.0.0/32
# przekazujemy pocztę tylko dla domeny:
mynetworks_style = host
zaraz po mydestination -
i jeszcze :

Kod: Zaznacz cały

smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_rbl_client dul.dnsbl.sorbs.net, reject_unauth_destination, check_sender_access hash:/etc/postfix/sender_checks_my, reject_rbl_client list.dsbl.org,reject_rbl_client sbl.spamhaus.org,reject_rbl_client cbl.abuseat.org, reject_non_fqdn_sender, reject_non_fqdn_hostname, reject_invalid_hostname, reject_unknown_sender_domain, reject_unknown_recipient_domain
zawartośc pliku /etc/postfix/sender_checks_my:

Kod: Zaznacz cały

twojanazwa.pl        554 brak autoryzacji SMTP AUTH
powinno pomóc.
Ostatnio zmieniony 2009-02-06, 23:17 przez grzenon, łącznie zmieniany 4 razy.

Awatar użytkownika
bzyk
Moderator w st. spocz.
Posty: 991
Rejestracja: 2004-06-05, 06:32
Lokalizacja: Pszczyna
Kontakt:

Re: postfix i góra spamu

Post autor: bzyk » 2009-02-07, 20:23

Oprócz tego co proponują koledzy (to co podał Outlaw jest wręcz koniecznością), zainteresuj się greylistingiem i SPF.
In /dev/null no one can hear you scream.

Awatar użytkownika
webster
Użytkownik
Posty: 1269
Rejestracja: 2009-10-06, 11:58
Lokalizacja: Gdańsk
Kontakt:

Re: postfix i góra spamu

Post autor: webster » 2009-10-27, 10:25

Proponuje miec porzadek w liniach, powtarzasz reguly. Logicznie warto miec tak:

Kod: Zaznacz cały

smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination, check_sender_access hash:/etc/postfix/sender_checks, reject_unknown_sender_domain, reject_unknown_recipient_domain, reject_unauth_pipelining, check_helo_access hash:/etc/postfix/helo_checks, check_helo_access pcre:/etc/postfix/helo_checks.pcre
W /etc/postfix/helo_checks

Kod: Zaznacz cały

Twoja_Domena REJECT You are not Twoja_Domena BITCH!
Twoje_IP REJECT You are not Twoje_IP
localhost REJECT You are not me BITCH!
dajesz

Kod: Zaznacz cały

postmap /etc/postfix/helo_checks
wszystko Masz tutaj
http://www.lemat.priv.pl/index.php?m=page&pg_id=90
††† Chaos Of The Mirror - Valheru †††
††† I ♥ SlackWare RuLeZ †††

Slackware Poland FaceBook

ODPOWIEDZ