Combattere lo spam su postfix

Combattere lo spam su postfix

Eccoci qua nella continua lotta fra il bene e il male  (lo spam!).

Oggi mi sono messo a fare un po’ di tuning sulla configurazione di postfix per abbattere un po’ lo spam e vi riassumo le modifiche che ho apportato, prendendo spunto da vecchie guide e nuovi tweak.

– Tweak configurazione postfix

Nel file /etc/postfix/main.cf ho aggiunto le seguenti righe

smtpd_helo_required = yes
smtpd_helo_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_non_fqdn_helo_hostname, reject_invalid_helo_hostname, reject_unknown_helo_hostname
strict_rfc821_envelopes = yes
smtpd_client_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unknown_client_hostname, check_client_access mysql:/etc/postfix/mysql-virtual_client.cf
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, check_recipient_access mysql:/etc/postfix/mysql-virtual_recipient.cf, reject_unauth_destination, reject_unknown_recipient_domain
smtpd_data_restrictions = reject_unauth_pipelining
smtpd_delay_reject = yes

dopo aver fatto la modifica date un bel /etc/init.d/postfix reload

– Installazione Grey list

Per installare le grey list sotto debian ubuntu vi basta un semplice

apt-get install postgrey

Ma questo non basta per abilitarlo, dovete modificare il file /etc/postfix/main.cf aggiungendo alla file della direttiva smtpd_recipient_restrictions la riga check_policy_service inet:127.0.0.1:10023 ottenendo qualcosa di simile alla stringa qua sotto
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, check_recipient_access mysql:/etc/postfix/mysql-virtual_recipient.cf, reject_unauth_destination, reject_unknown_recipient_domain, check_policy_service unix:private/policy-spf,check_policy_service inet:127.0.0.1:10023

– Installazione blacklist

Ammetto che non sianoil massimo, in quanto non abbiamo un controllo completo sulla loro distribuzione (a meno di non farcene una nostra, ma verrebbe meno il senso) per cui aggiungendo alla direttiva smtpd_recipient_restrictions nel file /etc/postfix/main.cf il parametro reject_rbl_client seguito dal nome della blacklist l’attiveremo (al solito date un reload di postfix)

smtpd_recipient_restrictions =
permit_mynetworks,
permit_sasl_authenticated,
check_recipient_access mysql:/etc/postfix/mysql-virtual_recipient.cf,
reject_unauth_destination,
# Aggiunta per combattere lo spam
reject_invalid_hostname,
reject_unknown_recipient_domain,
reject_unauth_pipelining,
reject_rbl_client multi.uribl.com,
reject_rbl_client zen.spamhaus.org,
reject_rbl_client dnsbl.njabl.org,
reject_rbl_client whois.rfc-ignorant.org,
reject_rbl_client combined.rbl.msrbl.net,
check_policy_service inet:127.0.0.1:10023,
permit

Ovviamente adesso ptoremmo stare ore a discutere su quali RBL siano le migliori senza trovare una risposta, a voi l’ardua scelta.

– SPF

Ho preferito non abilitare il controllo SPF in quanto tempo addietro mi ha dato parecchi problemi sulla ricezione della mail, da parte di alcuni clienti, per cui la evito come la morte (probabile avessi sbagliato qualcosa io, visto che se non erro anche google stessa la usa).

, ,

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.

Per postare il commento, risolvi il quesito sottostante * Time limit is exhausted. Please reload CAPTCHA.

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.