ReLoad

Thierry Jaouen ~ WikiBlog
"Rien à foutre d'être lu, tant que je peux me relire."

Outils pour utilisateurs

Outils du site


blog:2013:03:26:postfix_s25r

Postfix et S25R

En attendant “Postscreen” dans Wheezy (bientôt stable) , on peut utiliser le principe anti-spam S25R.

En gros, il s'agit de quelques règles de base qui vont éliminer les spams générer par des clients, et non pas par des serveurs bien configurés.

:!: pas loin d'être obsolète

… mais prétend bloquer de 97% à 99% des spams , avec toutefois 13% de faux positif sans une maintenance de la white list !

Source: http://www.gabacho-net.jp/en/anti-spam/anti-spam-system.html

Installation

Pas de package “Debian”, mais quelques fichiers de règles a télécharger et a mettre en place dans Postfix

les fichiers de règles

D'abord les fichiers

Mise en place des fichiers:

# cd /etc/postfix
# mkdir S25R
# cd S25R

Donc, nous sommes dans /etc/postfix/S25R .
Télécharger chaque fichier. Pour ma part je fais:

# wget http://www.gabacho-net.jp/en/anti-spam/white-list.txt -O white_list
# wget http://reload.eez.fr/pub/S25R/rejections.txt -O rejections
# wget http://reload.eez.fr/pub/S25R/helo_restrictions.txt -O helo_restrictions

Donc, on a les fichiers dans le répertoire courant:

# ls -l
total 124
-rw-r--r-- 1 root root    292 16 mars  12:24 helo_restrictions
-rw-r--r-- 1 root root   3421 16 mars  12:23 rejections
-rw-r--r-- 1 root root 111421 17 mars  12:55 white_list
:!: Il n'est pas interdit de vérifier que le contenu des fichiers est coohérent. :-)

Adapter les règles

D'abord dans le fichier white_list , j'autorise les smtp de free.fr . Donc j'ajoute a la fin:

# Free
/^smtp.*\.free\.fr$/                     OK

Et dans le fichier rejections, je rajoute au moins ça à la fin du fichier:

/\.fbx\.proxad\.net$/                           450 domain check, be patient

:-P

Aprés chaque modification:

# postfix reload

Et vérifier les logs !


:!::!::!: Dans le fichier rejections , les règles intitulés “[rule 1]” à “[rule 5]” me semble bien trop générique: Je les ai commentées !

Postfix

Adapter le fichier /etc/postfix/main.cf afin d'avoir:

smtpd_client_restrictions =
    permit_mynetworks,
    check_client_access regexp:/etc/postfix/S25R/white_list,
    check_client_access regexp:/etc/postfix/S25R/rejections,
    reject_unknown_reverse_client_hostname

smtpd_helo_required = yes

smtpd_helo_restrictions =
    permit_mynetworks,
    reject_invalid_hostname,
    check_helo_access regexp:/etc/postfix/S25R/helo_restrictions

smtpd_sender_restrictions =
    permit_mynetworks,
    reject_non_fqdn_sender,
    reject_unknown_sender_domain

Recharger postfix avec la nouvelle configuration:

# postfix reload

In vivo

:!: Dans un premier temps, surveiller les Logs afin d'adapter les règles, au moins pour les serveurs légitimes que vous connaissez !

Ce qu'on peut trouver dans les logs:

Mar 16 02:39:18 mx1 postfix/smtpd[10857]: NOQUEUE: reject: RCPT from ppp109-252-96-143.pppoe.spdop.ru[109.252.96.143]: 450 4.7.1 <ppp109-252-96-143.pppoe.spdop.ru[109.252.96.143]>: Client host rejected: S25R check, be patient; from=<messingn775@trinity.edu> to=<mfogdt@eeliad.fr> proto=ESMTP helo=<ppp109-252-96-143.pppoe.spdop.ru>
...
Mar 16 02:39:58 mx1 postfix/smtpd[10857]: NOQUEUE: reject: RCPT from ppp06.dialup.vizor.lutsk.ua[193.109.145.8]: 450 4.7.1 <ppp06.dialup.vizor.lutsk.ua[193.109.145.8]>: Client host rejected: S25R check, be patient; from=<reeball@ideacomtech.com> to=<stolarat@eeliad.fr> proto=SMTP helo=<ppp06.dialup.vizor.lutsk.ua>
...
Mar 16 04:04:24 mx1 postfix/smtpd[12563]: NOQUEUE: reject: RCPT from dslb-088-074-190-242.pools.arcor-ip.net[88.74.190.242]: 450 4.7.1 <dslb-088-074-190-242.pools.arcor-ip.net[88.74.190.242]>: Client host rejected: S25R check, be patient; from=<55D935@democracyresources.com> to=<eisen@eeliad.fr> proto=ESMTP helo=<dslb-088-074-190-242.pools.arcor-ip.net>
...

Etc… on voit le “S25R check … be patient” comme explication de rejet renvoyé aux clients.
Ces clients viennent de sources nommés “ppp” ou “dsl” : les véritables serveurs de mails ne sont pas censés être sur des connexions “modems RTC” (“ppp”) ou “modems ADSL” (“dsl”).

En cas d'erreur, adapter le fichier “white_list” ou “rejections”.

Le principal problème rencontré, ce sont les serveurs de mails dont le “reverse” de l'IP n'est pas renseigné.
Le client est alors classé comme “unknown” et puis rejeté.

Prendre aussi garde aux règles “rule 1” à “rule 5” du fichier “rejections” qui sont bien trop générique, et que j'ai préféré commenter.

Voila.

Comments




Si vous ne pouvez pas lire le code, téléchargez ce fichier .wav pour l'écouter.
blog/2013/03/26/postfix_s25r.txt · Dernière modification: 2013/03/26 16:57 par thierry

Outils de la page