Различия

Показаны различия между двумя версиями страницы.

--- сисадмин:postfix [2016.10.11 06:21] – создано feser
+++ сисадмин:postfix [2024.06.21 05:45] (текущий) – feser
@@ Строка 1: / Строка 1: @@
 ====== Postfix ======
-Файл: /etc/postfix/main.cf
+  * [[Примерная конфигурация mail.cf]]
-# Отклонять команду ETRN
+  * [[Настройки hiserver]]
-smtpd_etrn_restrictions = reject
+  * [[Настройка spamassassin]]
-# Запретить исходящую почту с наших доменов, но с несуществующих у нас адресов
-smtpd_reject_unlisted_sender = yes
+=== Отправить заново всю почту из очереди ===
-# Запретить письма для неизвестных адресов получателей
+  postqueue -f
-smtpd_reject_unlisted_recipient = yes
+=== Очистка почтовой очереди ===
+  postsuper -d ID
-# Отключает SMTP команду VRFY. В результате чего, невозможно определить существование определенного ящика.
+  postsuper -d ALL
-#Данная техника (применение команды VRFY) используется спамерами для сбора имен почтовых ящиков.
-disable_vrfy_command = yes
+=== Пересылка всей почты на другой сервер ===
-# Требует команды helo от подсоединившихся клиентов
+<code - /etc/postfix/main.cf>
-smtpd_helo_required = yes
+   relayhost = mail.server.ru:25
+</code>
-# требует окружать полученные в MAIL FROM и RCPT TO адреса угловыми скобками <>, а также, чтобы они не содержали лишних фраз
-strict_rfc821_envelopes = yes
-# Всегда отправлять EHLO вначале SMTP сессии
-smtp_always_send_ehlo = yes
-# Ожидание до RCPT TO перед выяснением smtpd_client_restrictions, smtpd_helo_restrictions и smtpd_sender_restrictions
-# или до ETRN перед выяснением smtpd_client_restrictions, smtpd_helo_restrictions.
-# Такое поведение еще обеспечивает лучшую читаемость логов.
-smtpd_delay_reject = yes
-# Максимальное количество ошибок, которое может сделать удаленный SMTP клиент. При превышение данного числа Postfix отсоединится.
-smtpd_hard_error_limit = 1
-# Интервал времени в течение которого SMTP сервер Postfix должен послать ответ, а удаленный SMTP клиент получить запрос
-smtpd_timeout = 30s
-# Интервал времени, в течение которого SMTP клиент должен послать SMTP команду HELO или EHLO и получить ответ сервера.
-smtp_helo_timeout = 15s
+=== Копия сообщений и в другой ящик ===
+<code - /etc/postfix/main.cf>
-# Интервал времени, в течение которого SMTP клиент должен послать SMTP команду RCPT TO и получить ответ сервера.
+   recipient_bcc_maps = hash:/etc/postfix/recipient_bcc_maps
-smtp_rcpt_timeout = 15s
+</code>
-# ограничение на количество одновременных получателей письма, по умолчанию 1000 :)
-smtpd_recipient_limit = 40
+<code - /etc/postfix/recipient_bcc_maps>
+   main@domain.ru  copied@domain.ru
-# Время хранения в очереди боунсов
+</code>
-bounce_queue_lifetime = 1d
-# Время хранения в очереди обычных писем, может принимать значения: s (seconds), m (minutes), h (hours), d (days), w (weeks).
-maximal_queue_lifetime = 3d
+Не забыть прохэшировать
+  postmap recipient_bcc_maps
-# Минимальный интервал повторной отправки писем (если получатели использую грейлистинг небольшое значение этого интервала
-# позволяет немного уменьшить очередь, по умолчанию здесь слишком большое значение в 4000s)
+=== Подмена исходящего адреса ===
-minimal_backoff_time = 180s
+<code - /etc/postfix/main.cf>
+   smtp_generic_maps = hash:/etc/postfix/generic
+</code>
-# Максимальный интервал повторной отправки писем. Письма которые уже давно лежат в очереди будут повторно
+<code - /etc/postfix/generic>
-# отправляться раз в 6 часов. По умолчанию здесь наоборот маленькое значение.
+   root@my.server.ru     exist@mydomain.ru
-maximal_backoff_time = 6h
+</code>
-# Включаем поддержку sasl аутентификации
-smtpd_sasl_auth_enable = yes
+  postmap /etc/postfix/generic
-# логи
+  service postfix reload
-smtpd_sasl_authenticated_header = yes
+=== Автоответ на входящее сообщение ===
-# Необходимо для корректной работы клиентов, использующих устаревший метод AUTH, например outlook express
-broken_sasl_auth_clients = yes
-# Запрещаем анонимную авторизацию
-smtpd_sasl_security_options = noanonymous
-#Определяем свои собственные классы запрета.
-smtpd_restriction_classes = greylist, bolt
-#Класс для применения грейлистинга. Подразумевается, что на порту 2501 интерфейса 127.0.0.1 уже запущен демон грейлистинга.
-greylist = check_policy_service inet:127.0.0.1:2501, permit
-#Класс для запрета отправки писем из нашего домена без авторизации.
-bolt = reject_plaintext_session, permit
+В master.cf добавить строку:
-smtpd_client_restrictions =
-# разрешаем "своим" все
+  redirect unix - n n - - pipe flags=R user=postfix argv=/etc/postfix/autoreply.sh ${sender} ${recipient}
-#   permit_mynetworks,
-# проверяем валидность хостов
+В /etc/postfix/script.sh должно быть:
-   check_client_access regexp:/etc/postfix/client_check.pcre,
-# разрешаем все для тех, кто пройдет SASL-авторизацию по SMTP
+  #!/bin/bash
-   permit_sasl_authenticated,
+  /usr/sbin/sendmail -f $1 $2
-# отклоняем письма с хостов, которые не имеют обратной записи и обратная запись которых не совпадает с прямой
+  cat /etc/postfix/autoreply.msg | /bin/mail -s 'Оповещение $1
-   reject_unknown_client_hostname,
-# Проверяем IP клиента на наличие его в базе rbl
+Права на скрипт - должен быть выполняемым для postfix (или любого юзера
-#reject_rbl_client http.dnsbl.sorbs.net,
+от имени которого в master.cf запускается скрипт)
-#reject_rbl_client soks.dnsbl.sorbs.net,
-#reject_rbl_client smtp.dnsbl.sorbs.net,
+Создать файл /etc/postfix/autoreply.msg и вписать в него текст сообщения
-#reject_rbl_client dul.dnsbl.sorbs.net,
-#reject_rbl_client,
+Добавить в main.cf:
-#xbl.spamhaus.org,
+  smtpd_recipient_restrictions = что там есть, hash:/etc/postfix/recipient
-# если все вышеперечисленное подошло, идем дальше
-   permit
+Создать файлик /etc/postfix/recipient такого вида:
+    user1@mydomain.com FILTER redirect:
+    user2@mydomain.com FILTER redirect:
-smtpd_helo_restrictions =
+  postmap recipient
-# разрешаем все для внутренних клиентов
+  postfix reload
-   #permit_mynetworks,
-# разрешаем все для тех, кто пройдет SASL-авторизацию по SMTP
-#   permit_sasl_authenticated,
-# проверяем отправителей
-#   check_sender_access pcre:/etc/postfix/stupid_programs.regex,
-# Отклоняем запрос, когда синтаксис HELO или EHLO невернен
-   reject_invalid_helo_hostname,
-# Отклоняем запрос, когда доменное имя хоста в HELO или EHLO не является полностью удовлетворяющим требованиям RFC.
-   reject_non_fqdn_helo_hostname,
-# Отклоняем запрос, когда имя хоста в HELO или EHLO не имеет A или MX днс-записи
-   reject_unknown_helo_hostname,
-# Если надо, проверяем по спискам rbl, есть ли домен из HELO/EHLO в них
-# reject_rhsbl_helo dnsbl.sorbs.net
-# если все вышеперечисленное подошло, идем дальше
-   permit
-smtpd_sender_restrictions =
-# "своим" можно и "просто"
-#   permit_mynetworks,
-# см комментарий к разделу smtpd_helo_restrictions
-#   permit_sasl_authenticated,
-   reject_non_fqdn_sender,
-# Отклоняется запрос, если Постфикс не обнаруживает окончательного места назначения для адреса отправителя и адрес в MAIL FROM не содержит A/MX днс-записиили когда имеется MX запись в виде хоста нулевой длины
-   reject_unknown_sender_domain,
-# если надо заблокировать
-#   check_sender_access pcre:/etc/postfix/block_bad.regex,
-# Отклоняем запрос, когда письмо на адрес из MAIL FROM отбивается или когда адрес отправителя недоступен. Проверка адресов управляется сервером проверки verify (см. verify(8), также http://www.postfix.org/ADDRESS_VERIFICATION_README.html)
-#reject_unverified_sender,
-# Если адрес из MAIL FROM есть в rbl, то отклоняем
-# reject_rhsbl_sender dnsbl.sorbs.net,
-# если все вышеперечисленное подошло, идем дальше
-   permit
-smtpd_recipient_restrictions =
-# разрешаем "своим" все
-   #permit_mynetworks,
-   permit_sasl_authenticated,
-# см комментарий к разделу smtpd_sender_restrictions
-   reject_non_fqdn_recipient,
-   reject_unknown_recipient_domain,
-# запрещаем принимать письма для несуществующих в системе адресов
-   reject_unlisted_recipient,
-   #reject_plaintext_session,
-# Отклоняем письмо, если домены из RCPT TO содержатся в rbl
-#reject_rhsbl_recipient dnsbl.sorbs.net,
-# Отклоняет запросы, кроме тех, что относятся к релею на наш домен, указанный в $relay_domains или для локальной доставки на домены, указанные в $mydestination, $inet_interfaces, $proxy_interfaces, $virtual_alias_domains, or $virtual_mailbox_domains,
-# без этой строки сервер становится открытым релеем.
-   reject_unauth_destination,
-# отдельные правила для получателей:
-   check_recipient_access pcre:/etc/postfix/recipient_checks.pcre,
-# проверяем отправителей
-   check_sender_access pcre:/etc/postfix/sender_access.regex,
-   #reject_plaintext_session,
-# если все вышеперечисленное подошло, идем дальше
-   permit
-smtpd_data_restrictions =
-# запрещаем выдачу писем и команд в поток, как это делают нетерпеливые спамеры
-   reject_unauth_pipelining

БАЗА ЗНАНИЙ

Инструменты пользователя

Инструменты сайта

Различия

Инструменты страницы