Файл: /etc/postfix/main.cf # Отклонять команду ETRN smtpd_etrn_restrictions = reject

# Запретить исходящую почту с наших доменов, но с несуществующих у нас адресов smtpd_reject_unlisted_sender = yes

# Запретить письма для неизвестных адресов получателей smtpd_reject_unlisted_recipient = yes

# Отключает SMTP команду VRFY. В результате чего, невозможно определить существование определенного ящика. #Данная техника (применение команды VRFY) используется спамерами для сбора имен почтовых ящиков. disable_vrfy_command = yes

# Требует команды helo от подсоединившихся клиентов smtpd_helo_required = yes

# требует окружать полученные в MAIL FROM и RCPT TO адреса угловыми скобками <>, а также, чтобы они не содержали лишних фраз strict_rfc821_envelopes = yes

# Всегда отправлять EHLO вначале SMTP сессии smtp_always_send_ehlo = yes

# Ожидание до RCPT TO перед выяснением smtpd_client_restrictions, smtpd_helo_restrictions и smtpd_sender_restrictions # или до ETRN перед выяснением smtpd_client_restrictions, smtpd_helo_restrictions. # Такое поведение еще обеспечивает лучшую читаемость логов. smtpd_delay_reject = yes

# Максимальное количество ошибок, которое может сделать удаленный SMTP клиент. При превышение данного числа Postfix отсоединится. smtpd_hard_error_limit = 1

# Интервал времени в течение которого SMTP сервер Postfix должен послать ответ, а удаленный SMTP клиент получить запрос smtpd_timeout = 30s

# Интервал времени, в течение которого SMTP клиент должен послать SMTP команду HELO или EHLO и получить ответ сервера.

smtp_helo_timeout = 15s

# Интервал времени, в течение которого SMTP клиент должен послать SMTP команду RCPT TO и получить ответ сервера. smtp_rcpt_timeout = 15s

# ограничение на количество одновременных получателей письма, по умолчанию 1000 :)

smtpd_recipient_limit = 40

# Время хранения в очереди боунсов bounce_queue_lifetime = 1d

# Время хранения в очереди обычных писем, может принимать значения: s (seconds), m (minutes), h (hours), d (days), w (weeks).

maximal_queue_lifetime = 3d

# Минимальный интервал повторной отправки писем (если получатели использую грейлистинг небольшое значение этого интервала # позволяет немного уменьшить очередь, по умолчанию здесь слишком большое значение в 4000s) minimal_backoff_time = 180s

# Максимальный интервал повторной отправки писем. Письма которые уже давно лежат в очереди будут повторно # отправляться раз в 6 часов. По умолчанию здесь наоборот маленькое значение. maximal_backoff_time = 6h

# Включаем поддержку sasl аутентификации smtpd_sasl_auth_enable = yes

# логи smtpd_sasl_authenticated_header = yes

# Необходимо для корректной работы клиентов, использующих устаревший метод AUTH, например outlook express broken_sasl_auth_clients = yes

# Запрещаем анонимную авторизацию smtpd_sasl_security_options = noanonymous

#Определяем свои собственные классы запрета. smtpd_restriction_classes = greylist, bolt

#Класс для применения грейлистинга. Подразумевается, что на порту 2501 интерфейса 127.0.0.1 уже запущен демон грейлистинга. greylist = check_policy_service inet:127.0.0.1:2501, permit

#Класс для запрета отправки писем из нашего домена без авторизации. bolt = reject_plaintext_session, permit

smtpd_client_restrictions = # разрешаем "своим" все # permit_mynetworks, # проверяем валидность хостов

 check_client_access regexp:/etc/postfix/client_check.pcre,                                                                               

# разрешаем все для тех, кто пройдет SASL-авторизацию по SMTP

 permit_sasl_authenticated,                                                                                                               

# отклоняем письма с хостов, которые не имеют обратной записи и обратная запись которых не совпадает с прямой

 reject_unknown_client_hostname,                                                                                                          

# Проверяем IP клиента на наличие его в базе rbl #reject_rbl_client http.dnsbl.sorbs.net, #reject_rbl_client soks.dnsbl.sorbs.net, #reject_rbl_client smtp.dnsbl.sorbs.net, #reject_rbl_client dul.dnsbl.sorbs.net, #reject_rbl_client, #xbl.spamhaus.org, # если все вышеперечисленное подошло, идем дальше

 permit

smtpd_helo_restrictions = # разрешаем все для внутренних клиентов

 #permit_mynetworks,

# разрешаем все для тех, кто пройдет SASL-авторизацию по SMTP # permit_sasl_authenticated, # проверяем отправителей # check_sender_access pcre:/etc/postfix/stupid_programs.regex, # Отклоняем запрос, когда синтаксис HELO или EHLO невернен

 reject_invalid_helo_hostname,

# Отклоняем запрос, когда доменное имя хоста в HELO или EHLO не является полностью удовлетворяющим требованиям RFC.

 reject_non_fqdn_helo_hostname,

# Отклоняем запрос, когда имя хоста в HELO или EHLO не имеет A или MX днс-записи

 reject_unknown_helo_hostname,

# Если надо, проверяем по спискам rbl, есть ли домен из HELO/EHLO в них # reject_rhsbl_helo dnsbl.sorbs.net # если все вышеперечисленное подошло, идем дальше

 permit

smtpd_sender_restrictions = # "своим" можно и "просто" # permit_mynetworks, # см комментарий к разделу smtpd_helo_restrictions # permit_sasl_authenticated,

 reject_non_fqdn_sender,

# Отклоняется запрос, если Постфикс не обнаруживает окончательного места назначения для адреса отправителя и адрес в MAIL FROM не содержит A/MX днс-записиили когда имеется MX запись в виде хоста нулевой длины

 reject_unknown_sender_domain,

# если надо заблокировать # check_sender_access pcre:/etc/postfix/block_bad.regex, # Отклоняем запрос, когда письмо на адрес из MAIL FROM отбивается или когда адрес отправителя недоступен. Проверка адресов управляется сервером проверки verify (см. verify(8), также http://www.postfix.org/ADDRESS_VERIFICATION_README.html) #reject_unverified_sender, # Если адрес из MAIL FROM есть в rbl, то отклоняем # reject_rhsbl_sender dnsbl.sorbs.net, # если все вышеперечисленное подошло, идем дальше

 permit

smtpd_recipient_restrictions = # разрешаем "своим" все

 #permit_mynetworks,
 permit_sasl_authenticated,

# см комментарий к разделу smtpd_sender_restrictions

 reject_non_fqdn_recipient,
 reject_unknown_recipient_domain,

# запрещаем принимать письма для несуществующих в системе адресов

 reject_unlisted_recipient,
 #reject_plaintext_session,

# Отклоняем письмо, если домены из RCPT TO содержатся в rbl #reject_rhsbl_recipient dnsbl.sorbs.net, # Отклоняет запросы, кроме тех, что относятся к релею на наш домен, указанный в $relay_domains или для локальной доставки на домены, указанные в $mydestination, $inet_interfaces, $proxy_interfaces, $virtual_alias_domains, or $virtual_mailbox_domains, # без этой строки сервер становится открытым релеем.

 reject_unauth_destination,

# отдельные правила для получателей:

 check_recipient_access pcre:/etc/postfix/recipient_checks.pcre,

# проверяем отправителей

 check_sender_access pcre:/etc/postfix/sender_access.regex,
 #reject_plaintext_session,

# если все вышеперечисленное подошло, идем дальше

 permit

smtpd_data_restrictions = # запрещаем выдачу писем и команд в поток, как это делают нетерпеливые спамеры

 reject_unauth_pipelining