El archivo de configuración del servicio Postfix le permite afinar y reducir la cantidad de spam a nivel del propio servicio por sus propios medios. En esta guía, bloquearemos el correo de los remitentes sin un registro PTR, con un saludo incorrecto y de las listas DNSBL.
1. Agreguemos estas configuraciones al archivo de configuración (comente la línea):
nano /etc/postfix/main.cf
#smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination
Agreguemos la siguiente configuración:
nano /etc/postfix/main.cf
smtpd_client_restrictions =
permit_mynetworks
permit_sasl_authenticated
reject_unauth_pipelining
permit
smtpd_helo_restrictions =
permit
smtpd_sender_restrictions =
permit_mynetworks
permit_sasl_authenticated
reject_non_fqdn_sender
reject_unknown_sender_domain
permit
smtpd_relay_restrictions =
permit_mynetworks
permit_sasl_authenticated
defer_unauth_destination
smtpd_recipient_restrictions =
permit_mynetworks
permit_sasl_authenticated
reject_non_fqdn_recipient
reject_unauth_destination
reject_unknown_recipient_domain
reject_unverified_recipient
reject_unknown_client_hostname
reject_invalid_helo_hostname
reject_non_fqdn_helo_hostname
reject_unknown_helo_hostname
reject_rbl_client b.barracudacentral.org
reject_rbl_client dnsbl.abuse.ch
reject_rbl_client bl.spamcop.net
reject_rbl_client dul.ru
permit
smtpd_data_restrictions =
permit
smtpd_end_of_data_restrictions =
permit
Para aplicar la configuración, reinicie Postfix:
systemctl restart postfix
Al eliminar o agregar reglas, podemos regular el nivel de exigencia para el remitente, por ejemplo, los servicios de correo populares en su mayoría aceptan correo con un saludo de servidor incorrecto y sin hacer coincidir el registro PTR con MX. A continuación se muestra una descripción de la configuración:
- permit_mynetworks — resuelve todas las direcciones enumeradas en la configuración de mynetworks.
- allow_sasl_authenticated - Permite solicitudes de todos los clientes autenticados con éxito.
- reject_unauth_pipelining — rechaza los correos electrónicos enviados previamente (omitiendo la cadena de sesión SMTP correcta).
- reject_non_fqdn_sender — rechazar la conexión si la dirección del remitente no es válida.
- reject_unknown_sender_domain — rechaza la solicitud si Postfix no es el destino final de la dirección del remitente mientras que el encabezado MAIL FROM no tiene: un registro DNS MX y un registro DNS A.
- reject_non_fqdn_recipient — rechazar la conexión si la dirección de destino no es válida.
- reject_unauth_destination — prohíbe la conexión al servicio sin autorización.
- reject_unknown_recipient_domain — rechazar la solicitud si el dominio del remitente no tiene registros en DNS: MX y A.
- reject_unverified_recipient — rechazar la solicitud si se sabe que el correo a la dirección RCPT TO ha sido rechazado o cuando la dirección del destinatario no está disponible.
- reject_unknown_client_hostname — comprueba la presencia del registro PRT del remitente y la presencia de un registro A en funcionamiento de acuerdo con el PTR.
- reject_invalid_helo_hostname — comprueba la sintaxis del saludo HELO.
- reject_non_fqdn_helo_hostname — requiere un FQDN válido durante un saludo HELO.
- reject_unknown_helo_hostname — prohíbe la introducción de nombres para los que no existe un registro A o MX.
- reject_rbl_client — comprueba si el remitente está en la lista negra.
- permit - Permitir la conexión. Está presente al final de cada bloque (si la carta no cae en más de una regla de prohibición, la entregamos).