Postfix: pypolicyd-spf

Installation simple et rapide de “pypolicyd-spf” pour protéger son domaine e-mail avec le protocole SPF.

Pour rappel: le “SPF” permet de limiter les possibilités de forger l'adresse de l'envoyeur (“from”)…

Il ne suffit pas d'installer ce service pour être protégé !
J'ai déjà expliqué les bases d'une installation complète sous Postfix ici

~~READMORE~~

vite fait

Un autre package existe, en version Perl, mais il me semble un poil obsolète et moins configurable: postfix-policyd-spf-perl

Installation du package

# aptitude update && aptitude install postfix-policyd-spf-python

configuration

Ça n'est pas indispensable, mais la configuration peut être changée la dedans: “/etc/postfix-policyd-spf-python/policyd-spf.conf”

Perso, j'ai juste ajouté des relay de mails relou en “whitelist” , comme ceci (extrait):

# --- TJ --------------
Whitelist = 1.2.3.4,5.6.7.8
# ---------------------

Postfix

En pratique, c'est “Postfix” qui démarre ce filtre.

Ajouter dans /etc/postfix/main.cf (extrait) :

smtpd_recipient_restrictions =
      reject_unverified_recipient,
      regexp:/etc/postfix/recipient_access.regexp,
      # --- TJ ---------------------
      check_policy_service unix:private/policyd-spf,
      # ----------------------------
      check_policy_service inet:127.0.0.1:1649

policyd-spf_time_limit = 3600

Et puis dans /etc/postfix/master.cf (extrait) :

policyd-spf     unix  -       n       n       -       0       spawn
      user=nobody argv=/usr/bin/policyd-spf

Tester

Recharger “Postfix”:

# postfix check
# postfix reload

Reste plus qu'à envoyer quelques mails, examiner les logs, et vérifier qu'on a bien dans les entêtes de mails des trucs comme ça:

Received-SPF: Pass (sender SPF authorized) identity=mailfrom; ...

Source:

http://www.webstershome.co.uk/2014/04/07/postfix-whitelisting-spf-filtering/