作者 主題: 選擇性的灰名單  (閱讀 4862 次)

0 會員 與 1 訪客 正在閱讀本文。

acty

  • 鑽研的研究生
  • *****
  • 文章數: 694
    • 檢視個人資料
    • UNIX 管理者的學習紀錄
選擇性的灰名單
« 於: 2008-04-12 09:41 »
上次 damon 有推薦使用 greylist

不過  因為考量實作時  全面性的灰名單  讓正常的 mail 也受到影響  似乎有點不妥
後來找到一篇文章  選擇性的灰名單   供大家參考

Postfix and selective greylisting
http://www.arschkrebs.de/postfix/postfix_greylisting.shtml

有人實做過了嗎
~~破窗計畫來囉~~~

學習與挑戰是我的樂趣... HIT!!
我知道的不多  但歡迎大家以起來討論

UNIX 管理者的學習紀錄 - http://actychen.wordpress.com

damon

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 4227
    • 檢視個人資料
    • http://blog.damon.tw/
回覆: 選擇性的灰名單
« 回覆 #1 於: 2008-04-12 19:54 »
postfix我沒這樣用過,不過如果是做法差不多的話,我個人用sendmail的話是排schedule,上班時間greylist的daemon就不要跑,下班時間再打開
或是把重要的信件往來的網域直接加入acl開放不需要透過greylist才能進來

acty

  • 鑽研的研究生
  • *****
  • 文章數: 694
    • 檢視個人資料
    • UNIX 管理者的學習紀錄
回覆: 選擇性的灰名單
« 回覆 #2 於: 2008-04-12 22:17 »
我已經做完了  還不錯  而且不會影響到一般的 mail server

看到一堆 unknown 或是 撥接  或是 網域名稱過長的(四個點以上)  都被 greylist  真爽

只要照它的步驟做  很容易就成功了  好處是不用維護太多白名單

由於今天是假日  Loading 有小降一點  但還看不出差有多大 

等上班日垃圾信多了  再來看比較準
~~破窗計畫來囉~~~

學習與挑戰是我的樂趣... HIT!!
我知道的不多  但歡迎大家以起來討論

UNIX 管理者的學習紀錄 - http://actychen.wordpress.com

acty

  • 鑽研的研究生
  • *****
  • 文章數: 694
    • 檢視個人資料
    • UNIX 管理者的學習紀錄
回覆: 選擇性的灰名單
« 回覆 #3 於: 2008-04-12 22:25 »
簡單寫一下做法好了

postfix 的 postgrey 安裝 , 可以參考 CentOS Wiki <<Postgrey HOWTO>>
http://wiki.centos.org/HowTos/postgrey
至於重送秒數 上面文章是建議 60s, 但由於我們是用選擇性的 postgrey ,正常的 mail server 不會影響
只會影響一些奇奇怪怪的 mail server , 所以我自己是稍微增加 設成 120s

選擇性 postgrey 就參考下面這篇
http://www.arschkrebs.de/postfix/postfix_greylisting.shtml
client_checks 的內容出自於此

以下是我的設定
main.cf
加入
smtpd_restriction_classes =
   greylisting
greylisting = check_policy_service unix:postgrey/socket

然後 greylist 條件是透過  check_client_access regexp:/etc/postfix/client_checks 達成


main.cf 片段
順帶一提 main.cf 是參考 kenduest 兄的,他每篇討論 postfix 的文章我都看過了
http://phorum.study-area.org/index.php/topic,30716.msg152832.html
代碼: [選擇]
smtpd_restriction_classes =
   greylisting

greylisting = check_policy_service unix:postgrey/socket

smtpd_recipient_restrictions =
        reject_non_fqdn_sender,
        reject_non_fqdn_recipient,
        reject_unknown_sender_domain,
        reject_unknown_recipient_domain,
        reject_unlisted_sender,
        permit_mynetworks,
        reject_rbl_client bl.spamcop.net,
        reject_rbl_client xbl.spamhaus.org,
        check_client_access regexp:/etc/postfix/client_checks,
        check_helo_access regexp:/etc/postfix/helo_checks,
        check_sender_access regexp:/etc/postfix/sender_checks,
        reject_invalid_helo_hostname,
        reject_non_fqdn_helo_hostname,
        reject_unauth_destination,
        check_recipient_maps

client_checks
代碼: [選擇]
/(\-.+){4}$/ greylisting
/(\..+){4}$/ greylisting
# everything with 4 or more dots/hyphens in the hostname
/(^|[0-9.x_-])(abo|br(e|oa)dband|cabel|(hk)?cablep?|catv|cbl|cidr|d?client2?|cust(omer)?s?|dhcp|dial?(in|up)?|d[iu]p|[asx]?dsld?|dyn(a(dsl|mic)?)?|home|in-addr|modem(cable)?|(di)?pool|ppp|ptr|rev|static|user|YahooBB[0-9]{12}|c[[:alnum:]]{6,}(\.[a-z]{3})?\.virtua|[1-9]Cust[0-9]+|AC[A-Z][0-9A-F]{5}\.ipt|pcp[0-9]{6,}pcs|S0106[[:alnum:]]{12,}\.[a-z]{2})[0-9.x_-]/
   greylisting
/^unknown$/    greylisting
« 上次編輯: 2008-04-12 22:32 由 acty »
~~破窗計畫來囉~~~

學習與挑戰是我的樂趣... HIT!!
我知道的不多  但歡迎大家以起來討論

UNIX 管理者的學習紀錄 - http://actychen.wordpress.com