Dieser Artikel zeigt einige einfache Konfigurationsänderungen, die Sie in einer Postfix-Installation auf Ihrem Mailserver implementieren können, um Spam zu reduzieren.
Echtzeit-Blackhole-Listen aktivieren
Echtzeit-Blackhole-Listen (RBLs) sind Listen mit IP-Adressen (Internet Protocol), die bekannten Spammern zugeordnet sind. Diese Listen sind im Allgemeinen kostenlos.
Sie können Postfix so konfigurieren, dass die IP-Adressen eingehender Nachrichten mit einer oder mehreren RBLs verglichen werden. Wenn es eine Übereinstimmung gibt, erlaubt Ihr Server dem Absender nicht, die Nachricht zu übertragen. Das Aktivieren von RBLs ist eine einfache Möglichkeit, bis zu 50 % Ihres Spam-Verkehrs zu stoppen.
Sie konfigurieren RBLs unter smtpd_recipient_restrictions
-Parameter in der Postfix-Hauptkonfigurationsdatei, die sich normalerweise unter /etc/postfix/main.cf befindet . Das folgende Beispiel für eine Postfix-Konfigurationsdatei verwendet sechs verschiedene RBLs:
smtpd_recipient_restrictions =
reject_rbl_client zen.spamhaus.org,
reject_rbl_client bl.spamcop.net,stop
reject_rbl_client dnsbl.sorbs.net,
reject_rbl_client cbl.abuseat.org,
reject_rbl_client b.barracudacentral.org,
reject_rbl_client dnsbl-1.uceprotect.net,
permit
Nachdem Sie diese Konfiguration implementiert haben, erscheinen in Ihren E-Mail-Protokollen Einträge ähnlich dem folgenden Beispiel:
Dec 17 15:58:24 mailserver postfix/smtpd[15573]: NOQUEUE: reject: RCPT from unknown[204.12.225.53]: 554 5.7.1 Service unavailable; Client host [204.12.225.53] blocked using zen.spamhaus.org; https://www.spamhaus.org/sbl/query/SBLCSS / https://www.spamhaus.org/query/bl?ip=204.12.225.53; from=<[email protected]> to=<[email protected]> proto=ESMTP helo=<hse53.lifeyjingu.com>
RBLs werden normalerweise in Verbindung mit anderen Techniken und Tools zur Spam-Bekämpfung wie Apache® SpamAssasin™ verwendet. Da SpamAssassin jedoch sehr CPU-intensiv sein kann, kann eine Halbierung des Spam-Verkehrs durch die Verwendung von RBLs zunächst wertvolle CPU-Ressourcen auf Ihrem Mailserver einsparen.
Zusätzlich zum Einschließen von RBLs möchten Sie möglicherweise auch einige der folgenden Konfigurationsoptionen unter smtpd_recipient_restrictions
hinzufügen Parameter in der Konfigurationsdatei:
-
reject_invalid_hostname
:Lehnt die Anforderung ab, wenn der HELO- oder EHLO-Hostname falsch formatiert ist. Diese Option kann schlecht programmierte Bots daran hindern, Spam an Ihren Server zu senden. -
reject_unknown_recipient_domain
:Weist die Anfrage ab, wenn Postfix nicht das endgültige Ziel für die Domäne des Empfängers ist. Diese Option kann verhindern, dass Ihr Server als offenes Relay verwendet wird. -
reject_unauth_pipelining
:Lehnt die Anforderung ab, wenn der Client SMTP-Befehle (Simple Mail Transfer Protocol) vorzeitig sendet, wenn dies nicht zulässig ist. Diese Option stoppt E-Mails von Massen-E-Mail-Software, die Extended SMTP (ESMTP) Command Pipelining missbräuchlich verwendet, um die Zustellung zu beschleunigen. -
reject_unauth_destination
:Diese Option ähnelt derreject_unknown_recipient_domain
Möglichkeit. Allerdings mitreject_unauth_destination
, muss eine der folgenden Bedingungen erfüllt sein, damit Postfix die Nachricht akzeptiert:- Postfix ist der Mail-Forwarder für die Domain (wie im Parameter
relay_domains parameter
definiert). ). - Postfix ist das endgültige Ziel für die Domain.
- Postfix ist der Mail-Forwarder für die Domain (wie im Parameter
Wenn es IPs oder Netzwerke gibt, die Sie nicht von Ihrem Mailserver herausfiltern möchten, können Sie den permit_mynetworks
hinzufügen Option unter smtpd_recipient_restrictions
um diese IPs auf die Whitelist zu setzen. Stellen Sie außerdem sicher, dass Sie diese Netzwerke unter my_networks
definieren Parameter in der Konfigurationsdatei.
Das folgende Beispiel smtpd_recipient_restrictions
-Parameter in der Postfix-Konfigurationsdatei verwendet alle vorangehenden Konfigurationsoptionen:
smtpd_recipient_restrictions =
reject_invalid_hostname,
reject_unknown_recipient_domain,
reject_unauth_pipelining,
permit_mynetworks,
reject_unauth_destination,
reject_rbl_client zen.spamhaus.org,
reject_rbl_client bl.spamcop.net,
reject_rbl_client dnsbl.sorbs.net,
reject_rbl_client cbl.abuseat.org,
reject_rbl_client b.barracudacentral.org,
reject_rbl_client dnsbl-1.uceprotect.net,
permit
Hinweis :Wenn Sie zusätzliche Konfigurationsparameter unter smtpd_recipient_restrictions
benötigen , können Sie sie am Ende dieser Liste über permit
hinzufügen Option.