dekuji za vystizny popis, urcite upravim dle doporuceni.
Martin Bubik
Marian Cerny napsal(a):
On 2.2.2009 9:48, Martin Bubik wrote:
zdravim,
rad bych se poptal lidi kteri provozuji postovni servery jake
pouzivaji restrikce u postfixu.
Svuj postovni server jsem dal dohromady nedavno a nejsem si moc jisty
jestli restrikce,
ktere pouzivam, nejsou prilis prisne a jestli neprichazim o regulerni
emaily, pripadne jestli
byste seznam jeste o neco doplnili, spamu mi totiz chodi docela dost
a rad bych ho odfiltroval
co nejvic nez se to dostane do spamassasinu.
procetl jsem na netu spoustu doporuceni tak jsme to tak nejak
sesumiroval a poskladal jsem tohle:
smtpd_helo_restrictions =
permit_mynetworks
permit_sasl_authenticated
reject_sender_login_mismatch
reject_invalid_hostname
reject_non_fqdn_helo_hostname
reject_unauth_pipelining
smtpd_sender_restrictions =
permit_mynetworks
permit_sasl_authenticated
reject_sender_login_mismatch
reject_unknown_sender_domain
reject_non_fqdn_sender
reject_unauth_pipelining
smtpd_recipient_restrictions =
permit_mynetworks
permit_sasl_authenticated
reject_unauth_pipelining
reject_sender_login_mismatch
reject_unauth_destination
reject_non_fqdn_recipient
reject_unknown_recipient_domain
Ak pouzivas smtpd_delay_reject (coz je default), tak mozes dat vsetky
kontroly do jednej restriction (mozes si vybrat ktorej, vecsinou sa
pouziva recipient, pretoze je posledna). Ak to ale chces mat logicky
rozdelene do jednotlivych restriction podla toho kam ktore obmedzenie
patri, tak to mozes nechat tak ako to mas teraz. Potom ale nedava
velmi zmysel, preco mas reject_sender_login_mismatch vo vsetkych
troch. Inak to reject_sender_login_mismatch mozes presunut este pred
permit_sasl_authenticated - takto nebudu moct ani autentizovany
uzivatelia posielat mail s podvrhnutym senderom.
Namiesto reject_invalid_hostname sa uz pouziva
reject_invalid_helo_hostname (iba zmena nazvu premennej).
Podla RFC helo nemusi byt FQDN, takze reject_non_fqdn_helo_hostname by
tam spravne nemalo byt, ale pouziva to skoro kazdy, takze by s tym
nemal byt problem. Dokonca aj dokumentacia k postfixu tvrdi, ze helo
hostname musi byt FQDN, takze by to malo byt ok.
Osobne mam reject_non_fqdn_sender/recipient a
reject_unknown_sender/recipient_domain este pred permit_mynetworks.
Odporuca sa dat reject_unauth_pipelining aj do smtpd_data_restrictions.
Ja naviac este pouzivam:
reject_unlisted_recipient
reject_unknown_reverse_client_hostname
reject_unknown_client_hostname
To kontroluje spravne nastavene reverzneho DNS zaznamu. To je dost
tvrda restrikcia, ale podla RFC by kazdy server mal mat nastaveny rDNS
zaznam, inac mozu ocakavat nedostupnost niektorych internetovych
sluzieb. Ak by si chcel nieco menej restriktivne, tak potom vyhod ten
reject_unkown_client_hostname a bude sa kontrolovat iba existencia
rDNS zaznamu a uz nie to, ci je spravne nastaveny aj dopredny zaznam.
Takto to pouziva napriklad AOL.
Marian
--
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l
--
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l
