Table des matières
Postfix et S25R
En attendant “Postscreen
” dans Wheezy
(bientôt stable) , on peut utiliser le principe anti-spam S25R
.
En gros, il s'agit de quelques règles de base qui vont éliminer les spams générer par des clients, et non pas par des serveurs bien configurés.
pas loin d'être obsolète |
… mais prétend bloquer de 97% à 99% des spams , avec toutefois 13% de faux positif sans une maintenance de la white list
!
~~READMORE~~
Source: http://www.gabacho-net.jp/en/anti-spam/anti-spam-system.html
Installation
Pas de package “Debian”, mais quelques fichiers de règles a télécharger et a mettre en place dans Postfix
les fichiers de règles
D'abord les fichiers
- White-list (a jour mais a compléter) : http://www.gabacho-net.jp/en/anti-spam/white-list.txt
- Rejection (un peu vieux et a compléter) : http://reload.eez.fr/pub/S25R/rejections.txt
- Helo Restriction (exemples): http://reload.eez.fr/pub/S25R/helo_restrictions.txt
Mise en place des fichiers:
# cd /etc/postfix # mkdir S25R # cd S25R
Donc, nous sommes dans /etc/postfix/S25R
.
Télécharger chaque fichier. Pour ma part je fais:
# wget http://www.gabacho-net.jp/en/anti-spam/white-list.txt -O white_list # wget http://reload.eez.fr/pub/S25R/rejections.txt -O rejections # wget http://reload.eez.fr/pub/S25R/helo_restrictions.txt -O helo_restrictions
Donc, on a les fichiers dans le répertoire courant:
# ls -l total 124 -rw-r--r-- 1 root root 292 16 mars 12:24 helo_restrictions -rw-r--r-- 1 root root 3421 16 mars 12:23 rejections -rw-r--r-- 1 root root 111421 17 mars 12:55 white_list
Il n'est pas interdit de vérifier que le contenu des fichiers est coohérent. |
Adapter les règles
D'abord dans le fichier white_list
, j'autorise les smtp
de free.fr
. Donc j'ajoute a la fin:
# Free /^smtp.*\.free\.fr$/ OK
Et dans le fichier rejections
, je rajoute au moins ça à la fin du fichier:
/\.fbx\.proxad\.net$/ 450 domain check, be patient
Aprés chaque modification:
# postfix reload
Et vérifier les logs !
Dans le fichier rejections , les règles intitulés “[rule 1] ” à “[rule 5] ” me semble bien trop générique: Je les ai commentées ! |
Postfix
Adapter le fichier /etc/postfix/main.cf
afin d'avoir:
smtpd_client_restrictions = permit_mynetworks, check_client_access regexp:/etc/postfix/S25R/white_list, check_client_access regexp:/etc/postfix/S25R/rejections, reject_unknown_reverse_client_hostname smtpd_helo_required = yes smtpd_helo_restrictions = permit_mynetworks, reject_invalid_hostname, check_helo_access regexp:/etc/postfix/S25R/helo_restrictions smtpd_sender_restrictions = permit_mynetworks, reject_non_fqdn_sender, reject_unknown_sender_domain
Recharger postfix
avec la nouvelle configuration:
# postfix reload
In vivo
Dans un premier temps, surveiller les Logs afin d'adapter les règles, au moins pour les serveurs légitimes que vous connaissez ! |
Ce qu'on peut trouver dans les logs:
Mar 16 02:39:18 mx1 postfix/smtpd[10857]: NOQUEUE: reject: RCPT from ppp109-252-96-143.pppoe.spdop.ru[109.252.96.143]: 450 4.7.1 <ppp109-252-96-143.pppoe.spdop.ru[109.252.96.143]>: Client host rejected: S25R check, be patient; from=<messingn775@trinity.edu> to=<mfogdt@eeliad.fr> proto=ESMTP helo=<ppp109-252-96-143.pppoe.spdop.ru> ... Mar 16 02:39:58 mx1 postfix/smtpd[10857]: NOQUEUE: reject: RCPT from ppp06.dialup.vizor.lutsk.ua[193.109.145.8]: 450 4.7.1 <ppp06.dialup.vizor.lutsk.ua[193.109.145.8]>: Client host rejected: S25R check, be patient; from=<reeball@ideacomtech.com> to=<stolarat@eeliad.fr> proto=SMTP helo=<ppp06.dialup.vizor.lutsk.ua> ... Mar 16 04:04:24 mx1 postfix/smtpd[12563]: NOQUEUE: reject: RCPT from dslb-088-074-190-242.pools.arcor-ip.net[88.74.190.242]: 450 4.7.1 <dslb-088-074-190-242.pools.arcor-ip.net[88.74.190.242]>: Client host rejected: S25R check, be patient; from=<55D935@democracyresources.com> to=<eisen@eeliad.fr> proto=ESMTP helo=<dslb-088-074-190-242.pools.arcor-ip.net> ...
Etc… on voit le “S25R check … be patient”
comme explication de rejet renvoyé aux clients.
Ces clients viennent de sources nommés “ppp” ou “dsl” : les véritables serveurs de mails ne sont pas censés être sur des connexions “modems RTC” (“ppp”) ou “modems ADSL” (“dsl”).
En cas d'erreur, adapter le fichier “white_list
” ou “rejections
”.
Le principal problème rencontré, ce sont les serveurs de mails dont le “reverse” de l'IP n'est pas renseigné.
Le client est alors classé comme “unknown” et puis rejeté.
Prendre aussi garde aux règles “rule 1
” à “rule 5
” du fichier “rejections
” qui sont bien trop générique, et que j'ai préféré commenter.
Voila.