Le fichier de configuration du service Postfix vous permet d'affiner et de réduire la quantité de spam au niveau du service lui-même par vos propres moyens. Dans ce guide, nous bloquerons le courrier des expéditeurs sans enregistrement PTR, avec un message d'accueil incorrect et des listes DNSBL.
1. Ajoutons ces paramètres au fichier de configuration (commentez la ligne) :
nano /etc/postfix/main.cf
#smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination
Ajoutons la configuration suivante:
nano /etc/postfix/main.cf
smtpd_client_restrictions =
permit_mynetworks
permit_sasl_authenticated
reject_unauth_pipelining
permit
smtpd_helo_restrictions =
permit
smtpd_sender_restrictions =
permit_mynetworks
permit_sasl_authenticated
reject_non_fqdn_sender
reject_unknown_sender_domain
permit
smtpd_relay_restrictions =
permit_mynetworks
permit_sasl_authenticated
defer_unauth_destination
smtpd_recipient_restrictions =
permit_mynetworks
permit_sasl_authenticated
reject_non_fqdn_recipient
reject_unauth_destination
reject_unknown_recipient_domain
reject_unverified_recipient
reject_unknown_client_hostname
reject_invalid_helo_hostname
reject_non_fqdn_helo_hostname
reject_unknown_helo_hostname
reject_rbl_client b.barracudacentral.org
reject_rbl_client dnsbl.abuse.ch
reject_rbl_client bl.spamcop.net
reject_rbl_client dul.ru
permit
smtpd_data_restrictions =
permit
smtpd_end_of_data_restrictions =
permit
Pour appliquer les paramètres, redémarrez postfix:
systemctl restart postfix
En supprimant ou en ajoutant des règles, nous pouvons réguler le niveau d'exactitude de l'expéditeur, par exemple, les services de messagerie populaires acceptent pour la plupart le courrier avec un message d'accueil de serveur incorrect et sans faire correspondre l'enregistrement PTR à MX. Vous trouverez ci-dessous une description des paramètres :
- permit_mynetworks — résout toutes les adresses répertoriées dans les paramètres mynetworks.
- allow_sasl_authenticated - Autorise les requêtes de tous les clients authentifiés avec succès.
- reject_unauth_pipelining — rejette les e-mails pré-envoyés (en sautant la chaîne de session SMTP correcte).
- reject_non_fqdn_sender — rejeter la connexion si l'adresse de l'expéditeur n'est pas valide.
- reject_unknown_sender_domain — rejette la requête si Postfix n'est pas la destination finale de l'adresse de l'expéditeur alors que l'en-tête MAIL FROM ne possède pas : d'enregistrement DNS MX et d'enregistrement DNS A.
- reject_non_fqdn_recipient — refuser la connexion si l'adresse de destination est invalide.
- reject_unauth_destination — interdit la connexion au service sans autorisation.
- reject_unknown_recipient_domain — rejeter la demande si le domaine de l'expéditeur n'a pas d'enregistrements dans DNS : MX et A.
- reject_unverified_recipient — rejeter la demande si le courrier à l'adresse RCPT TO est connu pour avoir été rejeté ou lorsque l'adresse du destinataire n'est pas disponible.
- reject_unknown_client_hostname — vérifie la présence de l'enregistrement PRT de l'expéditeur et la présence d'un enregistrement A fonctionnel conformément au PTR.
- reject_invalid_helo_hostname — vérifie la syntaxe du message d'accueil HELO.
- reject_non_fqdn_helo_hostname — nécessite un nom de domaine complet valide lors d'un hello HELO.
- reject_unknown_helo_hostname — interdit d'introduire des noms pour lesquels il n'y a pas d'enregistrement A ou MX.
- reject_rbl_client — vérifie si l'expéditeur est sur liste noire.
- permit - Autoriser la connexion. Il est présent à la fin de chaque bloc (si la lettre ne relève pas de plus d'une règle d'interdiction, nous la livrons).