postfix反垃圾邮件说明

最新推荐文章于 2024-02-01 15:07:19 发布
最新推荐文章于 2024-02-01 15:07:19 发布
阅读量1k 收藏 1
点赞数
文章标签: 运维 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huhuijun123/article/details/84911504
版权
本文介绍了如何配置Postfix以实现SMTP认证和反垃圾邮件功能。主要涉及在`main.cf`文件中添加相关设置,如开启smtpd_sasl_auth_enable、设置smtpd_recipient_restrictions等,以及详细解释了各种限制条件参数的作用,如smtpd_client_restrictions、smtpd_helo_restrictions等,以确保只有合法用户和邮件能够通过。
摘要由CSDN通过智能技术生成

参考地址:http://guailele.blog.51cto.com/1156442/780223

1、打开 smtp 的认证模块

在/etc/postfix/main.cf文件最后加上:
   smtpd_sasl_auth_enable = yes
   smtpd_delay_reject=yes
   smtpd_recipient_restrictions = permit_mynetworkspermit_sasl_authenticated permit_auth_destination reject
   smtpd_client_restrictions = permit_sasl_authenticated
   broken_sasl_auth_clients = yes
   smtpd_sasl_security_options = noanonymous
这样用户的postfix就支持smtp认证了

 

#1、postfix配置说明(强烈建议参看“postfix权威指南 第十一章 反垃圾邮件”
#fqdn格式:完全限定域名格式,即用点分隔开的包括域名和主机名的主机全名
# smtpd related config
smtpd_recipient_restrictions =
        permit_mynetworks,        #检测客户端是否来自mynetworks或者mynetworks_style的网络,是的话返回OK,否则返回DUNNO状态码。
        permit_sasl_authenticated,    #检测用户认证是否通过的,认证通过的返回状态OK,否则返回DUNNO状态码。
        reject_non_fqdn_hostname,    #HELO/EHLO时:客户端提供的主机名不是RFC要求的完整形式(FQND),返回REJECT,否则返回DUNNO状态码。 
        reject_non_fqdn_sender,        #MAIL FROM时:客户端提供的主机名不是RFC要求的完整形式(FQND),返回REJECT,否则返回DUNNO状态码。
        reject_non_fqdn_recipient,    #RCPT TO时:客户端提供的主机名不是RFC要求的完整形式(FQND),返回REJECT,否则返回DUNNO状态码。
        reject_unauth_destination,    #RCPT TO时:收件人不在postfix管辖的区域(由mydestination定义),返回REJECT,否则返回DUNNO状态码。
        reject_unauth_pipelining,    #禁止非授权客户端使用pipelining
        reject_invalid_hostname        #HELO/EHLO时:客户端提供的主机名不是有效的主机名时,返回REJECT,否则返回DUNNO状态码。

# SMTP sender login matching config
smtpd_sender_restrictions =
        permit_mynetworks,        #检测客户端是否来自mynetworks或者mynetworks_style的网络,是的话返回OK,否则返回DUNNO状态码。
        reject_sender_login_mismatch,    #拒绝发送者在$smtpd_sender_owner_maps中所匹配的用户名和sasl登录名不一致的连接。
        reject_authenticated_sender_login_mismatch,    #拒绝认证成功的发送者在$smtpd_sender_owner_maps中所匹配的用户名和sasl登录名不一致的连接。
        reject_unauthenticated_sender_login_mismatch    #拒绝认证失败的发送者在$smtpd_sender_owner_maps中所匹配的用户名和sasl登录名不一致的连接。

smtpd_sender_login_maps =
        mysql:/etc/postfix/mysql_virtual_sender_maps.cf,
        mysql:/etc/postfix/mysql_virtual_alias_maps.cf
    


#2、smtp会话过程的各个限制条件参数:详看图片“stmp对话过程以及各个阶段对于的限制条件.png”,共分为7个顺序过程的参数限制:
1、smtpd_client_restrictions
2、smtpd_helo_restrictions
3、smtpd_sender_restrictions
4、smtpd_recipient_restrictions
5、smtpd_data_restrictions
6、header_checks
7、body_checks

#3、会话过程对比:
#---------------------------------------------------------------------------
root@mail:/etc/postfix# telnet mail.jmail.com 25
Trying 192.168.0.234...
Connected to mail.jmail.com.
Escape character is '^]'.
220 ESMTP                    #smtpd_client_restrictions
#---------------------------------------------------------------------------
ehlo mail.zmail.com                #smtpd_helo_restrictions
250-mail.jmail.com
250-PIPELINING
250-SIZE 5242880
250-VRFY
250-ETRN
250-STARTTLS
250-AUTH LOGIN PLAIN
250-AUTH=LOGIN PLAIN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
#---------------------------------------------------------------------------
MAIL FROM:<zyq@zmail.com>            #smtpd_sender_restrictions
250 2.1.0 Ok
#---------------------------------------------------------------------------
RCPT TO:<jj@extmail.org>            #smtpd_recipient_restrictions
250 2.1.5 Ok
#---------------------------------------------------------------------------
DATA                        #smtpd_data_restrictions
354 End data with <CR><LF>.<CR><LF>
#---------------------------------------------------------------------------
Client: To: jingjing<jj@extmail.org>        #header_checks
From:<zyq@zmail.com>
Subject:SMTP Test!
#---------------------------------------------------------------------------
this is a test message body!            #body_checks
.
250 2.0.0 Ok: queued as 959FDE03CA
#---------------------------------------------------------------------------


#4、限制条件与对应的受检信息
限制条件                    客户端提供的受检信息
#RBL:实时黑名单

reject_rbl_client                         客户端提供的IP地址或则主机名称    #smtpd_client_restrictions
reject_rhsbl_client
reject_unknown_client

check_client_access type:mapname    helo提供的主机名称        #smtpd_helo_restrictions    
permit_naked_ip_address
reject_invalid_hostname
reject_non_fqdn_hosname
reject_unknown_hosname

check_helo_access type:mapname        MAIL FROM提供的寄件人邮件地址    #smtpd_sender_restrictions
reject_non_fqdn_sender
reject_rhsbl_sender
reject_unknown_sender_domain

check_sender_access type:mapname    RCPT TO提供的收件人的地址        #smtpd_recipient_restrictions
permit_auth_destination
permit_mx_backup
reject_non_fqdn_recipient
reject_unauth_destination
reject_unkownn_recipient_domain

check_recipient_access type:mapname    
reject_unauth_pipeling            DATA命令
permint                    无条件批准
reject                    无条件拒绝
defer                    无条件延迟
warn_if_reject                将原本的REJECT动作改为WARN(eg:warn_if_reject reject_unauth_destination 注意此命令必须放在其他条件之前,不能单独调用)
reject_unauth_pipelining        禁止非授权客户端使用pipelining



#参数详细说明

reject_rbl_client    #拒绝来自属于rbl和rhsbl列表中的地址进行连接。通过检查一个ip地址或域名是否存在于domain.tld的rbl或rhsbl中,可以判断该客户端是否被列入了domain.tld的实时黑名单,从而决定是否接受连接。
reject_rhsbl_client    #拒绝来自属于rbl和rhsbl列表中的地址进行连接。通过检查一个ip地址或域名是否存在于domain.tld的rbl或rhsbl中,可以判断该客户端是否被列入了domain.tld的实时黑名单,从而决定是否接受连接。
reject_unknown_client    #拒绝客户的地址没有对应的dns的a记录或ptr记录的连接。通常有些机器,尤其是个人拨号用户的机器没有对应的a记录或ptr记录,所以要注意漫游用户的使用(漫游用户是指不在$mynetworks中,比如在别的isp拨号上网的用户。通常用smtp认证来解决这个问题)。

check_client_access type:mapname
permit_naked_ip_address            #允许直接使用ip地址的连接。通常在helo/ehlo中使用主机名而不是ip地址。
reject_invalid_hostname            #拒绝无效格式的主机名的连接。 
reject_non_fqdn_hosname            #HELO/EHLO时:客户端提供的主机名不是RFC要求的完整形式(FQND),返回REJECT,否则返回DUNNO状态码。 
reject_unknown_hosname            #HELO/EHLO时:客户端提供的主机名未知时,返回REJECT,否则返回DUNNO状态码。

check_helo_access type:mapname
reject_non_fqdn_sender            #MAIL FROM时:客户端提供的服务器主机名不是RFC要求的完整形式(FQND),返回REJECT,否则返回DUNNO状态码。
reject_rhsbl_sender            #MAIL FROM时:拒绝来自实时黑名单的用户主机
reject_unknown_sender_domain        #MAIL FROM时:提供的网域无效时(DNS查询),返回REJECT,否则返回DUNNO状态码。

check_sender_access type:mapname
permit_auth_destination            #RCPT TO时:
#允许发往默认转发和默认接收的连接。
#postfix默认转发以下的邮件:
#来自$mynetworks中地址发送的邮件
#发往$relay_domains中的域或其子域的邮件。但是不能包含邮件路由(如user@elsewhere@domain.tld)。
#postfix默认接收最终投递目标符合如下条件的邮件:
#目标在$inet_interfaces
#目标在$mydestinations
#目标在$virtual_alias_domains
#目标在$virtual_mailbox_domains
permit_mx_backup            #RCPT TO时:允许接收本地主机是邮件投递目标的mx地址的邮件。但是不能包含邮件路由(如user@elsewhere@domain.tld)
reject_non_fqdn_recipient        #RCPT TO时:客户端提供的服务器主机名不是RFC要求的完整形式(FQND),返回REJECT,否则返回DUNNO状态码。
reject_unauth_destination        #RCPT TO时:拒绝不是发往默认转发和默认接收的连接。(防止成为垃圾邮件服务器)。
reject_unkownn_recipient_domain        #RCPT TO时:拒绝发往未知域名的连接。

check_recipient_access type:mapname    
reject_unauth_pipeling            #DATA命令
permint                    #无条件批准
reject                    #无条件拒绝
defer                    #无条件延迟
warn_if_reject                #将原本的REJECT动作改为WARN(eg:warn_if_reject reject_unauth_destination 注意此命令必须放在其他条件之前,不能单独调用)
reject_unauth_pipelining        #禁止非授权客户端使用pipelining

huhuijun123
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Postfix (3) 垃圾邮件的措施(2)
php_boy的专栏
08-04 2374
本系统接着Postfix (3) 垃圾邮件的措施(1)继续
Postfix垃圾邮件技术
04-22
一、数据前过滤   数据前过滤是指在smtp会话中,data指令发送前进行的过滤。在这个阶段,有四种不同子阶段的过滤:smtp连接时过滤、helo/ehlo指令过滤、mail from指令过滤和rcpt to指令过滤。根据这四个子阶段接收到的信息的不同,他们也分别称作smtp客户端限制、helo/ehlo主机名限制、发送者地址限制和接收者地址限制。   过滤默认是在rcpt to指令后生效的,这是因为一些windows上的邮件客户端不处理在rcpt to指令前的过滤动作。能通过将smtpd_delay_reject设置为no来使过滤动作即时生效。这个参数还影响了在不同的指令上能使用的过滤规则参数。   1、过滤规则   这四个子阶段的过滤是分别通过四个设置语句来指定过滤规则的。他们都接收一系列的规则参数列表,参数间能用空格或逗号分隔开。在默认状态下smtpd_delay_reject的值是yes,他们能接受所有支持的规则,不过需在rcpt to指令后才能全部生效;如果把smtpd_delay_reject设置为no,他们只能接受五个公共的规则参数、之前子阶段的过滤规则参数和该子阶段的规则参数。   他们接受的公共的规则参数如下: o permit 允许该连接进行。该规则通常置于规则列表的最后面使规则更清晰。 o defer 通知客户端目前不能继续会话,稍后再进行smtp连接请求。这常用于服务器需要进行一些dns检查,不过(由于dns查询超时)没有及时获得结果时,通知客户端稍后再进行连接。该规则通常置于规则列表的最后面使规则更清晰。 o reject 拒绝该连接请求。在这个阶段就断开了连接,有效的节约了垃圾邮件造成的带宽和处理能力的浪费。该规则通常置于规则列表的最后面使规则更清晰。 拒绝动作默认不会在匹配了拒绝规则后就即时断开连接,而是在rcpt to指令处理完之后再断开的,这是由于一些windows上有缺陷的邮件程式不处理在rcpt to指令前的发回的拒绝状态码。能通过smtpd_delay_reject设置为no来即时发送拒绝状态码断开连接。 reject_code指定了拒绝的返回状态码(默认是554)。 o warn_if_reject 改动其后规则的拒绝动作为警告,即如果其后存在满足拒绝的条件,并不实际拒绝,而是发出一条警告信息(reject_warning)到日志文件中(通常是/var/log/maillog)。他常用于在实际运行的邮件服务器上测试邮件过滤规则。
postfix垃圾邮件
王宁的博客
06-11 1556
postfix垃圾邮件 #安装spamassassin 软件包 主要目录: #spamassassin 与 postfix 整合编辑postfix 主配置文件 vim /etc/postfix/main.cf vim /etc/postfix/header_checks #去掉如下注释 #新加 /^Subject: reject-me /REJECT You asked for it
postfix垃圾邮件设置.docx
09-27
以下是对 Postfix 垃圾邮件设置的详细解释: 1. **防止发件人身份伪造**: - `smtpd_recipient_restrictions` 配置:这一配置项定义了 SMTP 会话中接收邮件的限制条件。`permit_mynetworks` 允许内部网络发送...
基于FreeBSD和Postfix垃圾邮件系统5.1(PowerUP补充版V2.0).doc
06-21
【基于FreeBSD和Postfix垃圾邮件系统5.1(PowerUP补充版V2.0)】 在本文中,作者介绍了如何构建一个强大的垃圾邮件病毒邮件系统,该系统是基于FreeBSD操作系统和Postfix邮件服务器的。FreeBSD是一种开源...
Linux系统下postfix邮件系统垃圾技术解析.pdf
09-06
本文主要解析了在Linux系统下,Postfix如何实现垃圾邮件的技术。 Postfix垃圾邮件策略主要体现在两个阶段:数据发送前过滤和数据发送后过滤。 1. 数据发送前过滤 这一阶段的过滤发生在SMTP会话中,在DATA...
RadicalSpam:开源垃圾邮件病毒网关-开源
05-07
RadicalSpam是在GPL v2下分发的免费开源软件包,包括Postfix,SpamAssassin Amavisd-new,Clamav,Razor,DCC,Postgrey,Bind等产品; 提供安全的SMTP中继,可以在Linux和docker环境中使用。 详细信息:...
postfix-dovecot:postfix-dovecot 和病毒垃圾邮件
06-05
postfix-dovecot postfix-dovecot 和防病毒/垃圾邮件
Postfix (3) 垃圾邮件的措施(1)
php_boy的专栏
08-03 1642
我们知道在现在网络环境中, 存在大量的spam。 就笔者目前负责的一个在线邮件安全系统,每天为客户挡掉的spam就有200M 这么多, 而且这还是已经下降了60%的结果,一年前, 大概每天spam的数量在1B左右。 庞大的垃圾邮件, 浪费的大量的网络带宽
postfix垃圾设置
yingying.liu的专栏
03-25 2607
垃圾过滤字段: smtpd_client_restrictions : SMTP链接,可依据客户端的IP或者主机名判断是reject还是accept smtpd_helo_restrictions : HELO 显示送信方的主机名,可依据它判断是reject还是accept smtpd_sender_restrictions : MAIL FROM 寄信人的邮件地址,可据此添加限制条件 s
带smtp认证的postfix配置
寒风问雪的专栏
09-21 8289
环境:RedHat Linux+Postfix+Cyrus-sasl+Dovecot+Stunnel 在安装Linux时,如果选择全部安装的话,Postfix与Dovecot以及Stunnel将会自动给予安装上去,查看是否已安装,可以执行如下命令: rpm –qa | grep postfix或dovecot或stunnel 如果没有的话,请直接在光盘里找出来,并给予安装。这里以
postfix中限制认证用户使用的sender address
程序猿踩坑集锦
06-25 1921
前言:默认情况下,杂postfix中,a用户主要通过了smtp认证,当a发送邮件时候,发送人地址可以随便写  现在我们想设置限制a用户的发送人地址  达到的要求  (1)a用户只能使用a-email地址发送邮件  (2)外面的用户可以发送邮件给我们服务器用户时候 第(2)点看起来有点多余,  但是如果配置错误的话:第(1)点实现了,第(2)点就有问题  本文将使用reje
postfix(邮件服务器)说明与postconfig命令详解
崔崇鑫的博客,你linux/云运维工作中的百科全书。
12-23 4455
文章目录postfix(邮件服务器)邮件的整个收发流程邮件相关协议邮件相关名词Postfix介绍配置postfixpostfix的配置文件结构postfix的基本配置posftfix的性能控制使用图形客户端收发邮件 postfix(邮件服务器) 邮件的整个收发流程 邮件相关协议 SMTP(Simple Mail Transfer Protocol)即简单邮件传输协议, 工作在TCP的25端口。它是...
centos下搭建邮件服务器
最新发布
无效的博客
02-01 987
邮件用户就是系统的用户,例如root,就是一个邮箱用户,邮箱是root@example.com,密码就是root的密码,所以需要创建用户,只要使用useradd创建用户,再使用passwd设置密码。创建用户后,再在用户目录下创建Maildir目录(邮件数据的存储目录)并设置权限。在/etc/init.d/目录下提供一个脚本来管理postfix的启动与停止。测试:可以使用Foxmail等第三方软件来收发邮件。
postfix mysql冲突_postfix常用错误解决方案
weixin_35697651的博客
02-09 873
FAQ1. 启动 postfix 报错#/usr/sbin/postfix startpostfix:fatal: /etc/postfix/main.cf, line 34: missing '=' after attribute name:"permit_mynetworks,"原因 smtpd_recipient_restrictions =后面的选项要连续,不能换行改成smtpd_reci...
Postfix开启内网SMTP认证
kepa520的博客
07-24 1077
在我配置完Postfix后,发现内网发信时无需认证,外网则一切正常。经检查为此项配置中的问题: smtpd_recipient_restrictions=permit_mynetworks,permit_sasl_authenticated,reject_invalid_hostname,reject_non_fqdn_hostname,reject_unknown_sender_domai
postfix过滤(header_checks,body_checks...)
zhaozhanyong的专栏
06-28 9483
Postfix是目前比较流行的,拥有相当好的安全性和高效率的邮件系统。Postfix自身带了很多垃圾邮件的功能,现在我们就来简单的了解一下它的这些功能。 一、访问控制列表 访问控制列表可以限制客户端对邮件服务器的访问,main.cf中常用的访问控制如下: 程序代码: smtpd_client_restrictions SMTPD客户端限制 smtpd_helo_restrictio
Postfix邮件服务器配置全攻略:包含垃圾邮件与安全
"该文档是一份详细的Postfix邮件服务器安装和配置手册,涵盖了从基础的邮件系统知识、Postfix的安装与配置,到与之配合的Dovecot安装、虚拟域和虚拟用户的配置,以及病毒和垃圾邮件模块的安装,WebMail的集成,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值