Image

Base de connaissances → Protection anti-spam avec Postfix

[Serveurs virtuels]
Date de publication: 14.06.2023

Le fichier de configuration du service Postfix vous permet d'affiner et de réduire la quantité de spam au niveau du service lui-même par vos propres moyens. Dans ce guide, nous bloquerons le courrier des expéditeurs sans enregistrement PTR, avec un message d'accueil incorrect et des listes DNSBL.

1. Ajoutons ces paramètres au fichier de configuration (commentez la ligne) :

nano /etc/postfix/main.cf

#smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination

Ajoutons la configuration suivante:

nano /etc/postfix/main.cf

smtpd_client_restrictions = permit_mynetworks permit_sasl_authenticated reject_unauth_pipelining permit

smtpd_helo_restrictions = permit

smtpd_sender_restrictions = permit_mynetworks permit_sasl_authenticated reject_non_fqdn_sender reject_unknown_sender_domain permit

smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination

smtpd_recipient_restrictions = permit_mynetworks permit_sasl_authenticated reject_non_fqdn_recipient reject_unauth_destination reject_unknown_recipient_domain reject_unverified_recipient reject_unknown_client_hostname reject_invalid_helo_hostname reject_non_fqdn_helo_hostname reject_unknown_helo_hostname reject_rbl_client b.barracudacentral.org reject_rbl_client dnsbl.abuse.ch reject_rbl_client bl.spamcop.net reject_rbl_client dul.ru permit

smtpd_data_restrictions = permit

smtpd_end_of_data_restrictions = permit

Pour appliquer les paramètres, redémarrez postfix:

systemctl restart postfix

En supprimant ou en ajoutant des règles, nous pouvons réguler le niveau d'exactitude de l'expéditeur, par exemple, les services de messagerie populaires acceptent pour la plupart le courrier avec un message d'accueil de serveur incorrect et sans faire correspondre l'enregistrement PTR à MX. Vous trouverez ci-dessous une description des paramètres :

  • permit_mynetworks — résout toutes les adresses répertoriées dans les paramètres mynetworks. 
  • allow_sasl_authenticated - Autorise les requêtes de tous les clients authentifiés avec succès.
  • reject_unauth_pipelining — rejette les e-mails pré-envoyés (en sautant la chaîne de session SMTP correcte). 
  • reject_non_fqdn_sender — rejeter la connexion si l'adresse de l'expéditeur n'est pas valide. 
  • reject_unknown_sender_domain — rejette la requête si Postfix n'est pas la destination finale de l'adresse de l'expéditeur alors que l'en-tête MAIL FROM ne possède pas : d'enregistrement DNS MX et d'enregistrement DNS A. 
  • reject_non_fqdn_recipient — refuser la connexion si l'adresse de destination est invalide. 
  • reject_unauth_destination — interdit la connexion au service sans autorisation.
  • reject_unknown_recipient_domain — rejeter la demande si le domaine de l'expéditeur n'a pas d'enregistrements dans DNS : MX et A. 
  • reject_unverified_recipient — rejeter la demande si le courrier à l'adresse RCPT TO est connu pour avoir été rejeté ou lorsque l'adresse du destinataire n'est pas disponible. 
  • reject_unknown_client_hostname — vérifie la présence de l'enregistrement PRT de l'expéditeur et la présence d'un enregistrement A fonctionnel conformément au PTR. 
  • reject_invalid_helo_hostname — vérifie la syntaxe du message d'accueil HELO. 
  • reject_non_fqdn_helo_hostname — nécessite un nom de domaine complet valide lors d'un hello HELO.
  • reject_unknown_helo_hostname — interdit d'introduire des noms pour lesquels il n'y a pas d'enregistrement A ou MX. 
  • reject_rbl_client — vérifie si l'expéditeur est sur liste noire.
  • permit - Autoriser la connexion. Il est présent à la fin de chaque bloc (si la lettre ne relève pas de plus d'une règle d'interdiction, nous la livrons).




Julian
27.12.2023 16:52
Attention, reject_unauth_pipelining est hyper restrictif.. à n'utiliser que dans un environnement vraiment cloisonné et maîtrisé de bout en bout.