Jak skonfigurować milise-greylist Spam Blocking w Sendmail
Praktycznie wszystkie dystrybucje linuxowe zawierają sendmail jako domyślny MTA. Co jest w porządku - jest już od dawna, jest stabilne i działa wspaniale (chociaż postfiksowi mogą się nie zgodzić!). Ale nie ma nic wbudowanego w kontrolę spamu, co jest dobre; nie był do tego przystosowany. Zainstalowałeś więc spamassassin i działa dobrze, ale wciąż dostajesz niezafagowane wiadomości spamowe. Być może musisz spróbować szarej listy.
Greylisting to proces, w którym wszystkie wiadomości e-mail (o ile nie zostały specjalnie dodane do białej listy) są początkowo odrzucane, ale działają zgodnie z parametrami różnych dokumentów RFC, aby zapewnić ewentualne otrzymanie wiadomości e-mail. Pomysł polega na tym, że spamerzy nie będą próbowali ponownie połączyć się z serwerem poczty e-mail, który odrzucił ich ofertę, ale będą to legalne serwery pocztowe. Nie jest to niezawodne - spamerzy szybko się dostosowują, a szara lista istnieje od dłuższego czasu. Ale to pomaga.
W tym artykule jest napisane, jak zainstalować milter-greylist, który został pierwotnie napisany przez Emmanuela Dreyfusa. Skoncentruję się tutaj na Sendmail, ale milter-greylist jest również obsługiwany przez Postfix.
Najpierw sprawdź zależności. Z README:
Buduj zależności:
- flex (AT & T lex nie może budować milter-greylistowych źródeł)
- yacc lub bison (niektóre starsze yacc zawiedzie, zamiast tego użyj bison)
- libmilter (pochodzi z Sendmailem lub z sendmail-devel
pakiet na RedHat, Fedorze i SuSE. Debian i Ubuntu go mają
w libmilter-dev)
- Dowolna biblioteka wątków POSIX (dostarczona przez libc w niektórych systemach)Opcjonalne zależności:
- libspf2, libspf_alt lub libspf, dla obsługi SPF
- libcurl, do obsługi sprawdzania adresów URL
- libGeoIP, do obsługi GeoIP
- libbind z BIND 9, dla obsługi DNSRBL, z wyjątkiem sytuacji, gdy twój system ma wbudowany wbudowany mechanizm rozwiązywania wątków DNS.
Ale proces konfiguracji znajdzie wszystko, czego nie zainstalowałeś i nie złożysz zażalenia, dopóki nie zostanie rozwiązana zależność.
Następnie pobierz greylist-milter z http://hcpnet.free.fr/milter-greylist i rozpakuj archiwum. Następnie przeczytaj plik README! Zawiera mnóstwo informacji, których nie omówiono w tym artykule, zwłaszcza w przypadku instalacji, które wymagają / muszą zawierać specjalne funkcje, takie jak obsługa SPF.
I rób to, co zwykle
./ configure
./robić
./ make install
Standardowa instalacja umieści pliki binarne w katalogu / usr / local / bin, bazę danych i plik pid w / var / milter-greylist, a plik konfiguracyjny będzie /etc/mail/greylist.conf. Niektóre skrypty startowe są zawarte w archiwum, ale nie są instalowane automatycznie. Będziesz musiał ustawić go w swoim /etc/init.d, jeśli chcesz go użyć.
Będziesz wtedy musiał skonfigurować sendmaila, aby faktycznie używał miltera. W pliku sendmail.mc dodaj następujące elementy (ale zwróć szczególną uwagę na ostrzeżenia w pliku README, jeśli używasz już innych modułów do instalacji!):
INPUT_MAIL_FILTER ('greylist', 'S = local: /var/milter-greylist/milter-greylist.sock') dnl
define ('confMILTER_MACROS_CONNECT', 'j, if_addr') dnl
define ('confMILTER_MACROS_HELO', 'verify, cert_subject') dnl
define ('confMILTER_MACROS_ENVFROM', "i, auth_authen ') dnl
define ('confMILTER_MACROS_ENVRCPT', 'greylist') dnl
i ponownie skonfiguruj plik sendmail.cf:
# m4 sendmail.mc> sendmail.cf
Nie uruchamiaj jeszcze demona sendmaila - musimy jednak zmodyfikować konfigurację, aby działała poprawnie.
Otwórz /etc/mail/greylist.conf w swoim ulubionym edytorze (który, oczywiście, jest vi, prawda?).
Odkomentuj lub dodaj:
cichy
greylist 7m
dumpfreq 1d
autowhite 10d
W powyższej konfiguracji "cichy" nie będzie zawierał ram czasowych, które można ponowić. Jest to dobre, więc spamerzy nie mogą wiedzieć, jak długo będą blokowani. Szara lista będzie dostępna przez 7 minut, po czym poczta e-mail ze źródła zostanie zaakceptowana, zawartość bazy danych zostanie zrzucona na /var/milter-greylist/greylist.db raz dziennie, a po odebraniu wiadomości e-mail ze źródła, źródło zostanie dodana do białej listy przez 10 dni przed ponownym pojawieniem się na niej szarej listy.
Utwórz także listy, które dodadzą do białej listy swoje sieci do pliku konfiguracyjnego:
lista "moja sieć" addr 127.0.0.1/8 10.230.1.0/24 192.168.1.0/24
która będzie białą listą lokalną, DMZ i sieciami wewnętrznymi (na przykład - Twoja prawdopodobnie jest inna). Zwróć uwagę na przestrzeń między adresami sieci, nie przecinki.
Wraz z innymi zewnętrznymi sieciami, które zawsze są zaufane:
# Zaufane sieci to nie szara lista:
lista "zaufany" addr
207.46.0.0/16 # Microsoft
72.33.0.0/16 # UW Madison
Istnieje dość obszerna lista "uszkodzonych" serwerów pocztowych w pliku konfiguracyjnym, które również zawsze mają zostać umieszczone na białej liście, ponieważ ich umieszczanie na grejowanej liście najprawdopodobniej spowoduje, że nigdy nie otrzymają od nich wiadomości e-mail. W razie potrzeby możesz również dodać tę listę, jeśli potrzebujesz.
Najprawdopodobniej domyślnie skonfigurujesz szare listy, więc możesz również dodać do białej listy niektórych użytkowników, którzy nigdy nie chcą, aby e-maile były opóźnione (różne pompatyczne wiceprezydenci, adresy alarmów systemowych itp.):
# Lista użytkowników, którzy chcą dodać do białej listy (jeśli domyślnie jest to greylisting):
wymień "białych użytkowników" rcpt
[email protected]
[email protected]
[email protected]
Zwróć uwagę na nazwy list "moja sieć", "zaufany" i "biały użytkownik" - musisz dodać je do bieżącej białej linii konfiguracyjnej:
# I tutaj jest lista dostępu
lista białych list "moja sieć"
lista białych list na liście wyścigów "broken mta"
lista "białej listy" listy "zaufanych"
lista białych list "białych użytkowników"
Uwaga: Możesz także ustawić tę opcję jako białą listę jako domyślną. W takim przypadku możesz również utworzyć listę "szarej" listy osób, które zawsze będą podlegały szarej liście. Należą do nich błędni użytkownicy, którzy publikują swój firmowy adres e-mail w witrynach społecznościowych, witrynach sprzedaży i subskrypcjach biuletynów.
A następnie skonfiguruj domyślną operację milter-greylist:
domyślna lista szarej listy
(użyj domyślnej białej listy, jeśli chcesz, aby biała lista była domyślną operacją).
A następnie uruchom plik binarny milter-greylist za pomocą skryptu startowego /etc/init.d/milter-greylist lub
# milter-greylist -f /etc/mail/greylist.config
w linii poleceń. Istnieje mnóstwo innych opcji wiersza poleceń (wiele z nich powtarza parametry ustawione w pliku conf). Widzieć
człowiek milter-greylist
dla dalszych szczegółów.
A następnie uruchom ponownie demona sendmaila i ciesz się mniejszą ilością spamu przychodzącego na twój serwer pocztowy.