Image

Base de conocimientos → Protección contra spam con Postfix

[Servidores virtuales]
Fecha de publicación: 14.06.2023

El archivo de configuración del servicio Postfix le permite afinar y reducir la cantidad de spam a nivel del propio servicio por sus propios medios. En esta guía, bloquearemos el correo de los remitentes sin un registro PTR, con un saludo incorrecto y de las listas DNSBL.

1. Agreguemos estas configuraciones al archivo de configuración (comente la línea):

nano /etc/postfix/main.cf

#smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination

Agreguemos la siguiente configuración:

nano /etc/postfix/main.cf

smtpd_client_restrictions = permit_mynetworks permit_sasl_authenticated reject_unauth_pipelining permit

smtpd_helo_restrictions = permit

smtpd_sender_restrictions = permit_mynetworks permit_sasl_authenticated reject_non_fqdn_sender reject_unknown_sender_domain permit

smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination

smtpd_recipient_restrictions = permit_mynetworks permit_sasl_authenticated reject_non_fqdn_recipient reject_unauth_destination reject_unknown_recipient_domain reject_unverified_recipient reject_unknown_client_hostname reject_invalid_helo_hostname reject_non_fqdn_helo_hostname reject_unknown_helo_hostname reject_rbl_client b.barracudacentral.org reject_rbl_client dnsbl.abuse.ch reject_rbl_client bl.spamcop.net reject_rbl_client dul.ru permit

smtpd_data_restrictions = permit

smtpd_end_of_data_restrictions = permit

Para aplicar la configuración, reinicie Postfix:

systemctl restart postfix

Al eliminar o agregar reglas, podemos regular el nivel de exigencia para el remitente, por ejemplo, los servicios de correo populares en su mayoría aceptan correo con un saludo de servidor incorrecto y sin hacer coincidir el registro PTR con MX. A continuación se muestra una descripción de la configuración:

  • permit_mynetworks — resuelve todas las direcciones enumeradas en la configuración de mynetworks. 
  • allow_sasl_authenticated - Permite solicitudes de todos los clientes autenticados con éxito.
  • reject_unauth_pipelining — rechaza los correos electrónicos enviados previamente (omitiendo la cadena de sesión SMTP correcta). 
  • reject_non_fqdn_sender — rechazar la conexión si la dirección del remitente no es válida. 
  • reject_unknown_sender_domain — rechaza la solicitud si Postfix no es el destino final de la dirección del remitente mientras que el encabezado MAIL FROM no tiene: un registro DNS MX y un registro DNS A. 
  • reject_non_fqdn_recipient — rechazar la conexión si la dirección de destino no es válida. 
  • reject_unauth_destination — prohíbe la conexión al servicio sin autorización.
  • reject_unknown_recipient_domain — rechazar la solicitud si el dominio del remitente no tiene registros en DNS: MX y A. 
  • reject_unverified_recipient — rechazar la solicitud si se sabe que el correo a la dirección RCPT TO ha sido rechazado o cuando la dirección del destinatario no está disponible. 
  • reject_unknown_client_hostname — comprueba la presencia del registro PRT del remitente y la presencia de un registro A en funcionamiento de acuerdo con el PTR. 
  • reject_invalid_helo_hostname — comprueba la sintaxis del saludo HELO. 
  • reject_non_fqdn_helo_hostname — requiere un FQDN válido durante un saludo HELO.
  • reject_unknown_helo_hostname — prohíbe la introducción de nombres para los que no existe un registro A o MX. 
  • reject_rbl_client — comprueba si el remitente está en la lista negra.
  • permit - Permitir la conexión. Está presente al final de cada bloque (si la carta no cae en más de una regla de prohibición, la entregamos).




Sin comentarios aún