Skocz do zawartości
murgal

Postfix, SPF i Relay serwer (anty spam)

Polecane posty

Cześć

Serwer postfix & dovecot

 

Testuje sobie rozwiązanie chmurowe SpamTitan, mam jeden problem. Ogólnie sprawa polega na tym że w mojej domenie dodałem MXy spam titana, wiadomości trafiają do SpamTitana potem do mojego serwera. Problem jest jeden, gdy odbieram maile na serwerze końcowym on sprawdza SPFa, i w tym problem.

Ścieżka:

 

Serwer np. Onet.pl > Serwer Spam Titan > Mój serwer

 

 

Po zweryfikowaniu maile na urządzeniu spam titan mail idzie do mnie, lecz wtedy mój serwer odrzuca tego maile ze względu na błędny SPF (nadawcą jest Onet, a serwerem SpamTitan).

 

Oczywiście jest rozwiązanie wywalić na końcowym SPFa i spiąć aby mógł odbierać maile tylko z serwerów SpamTitana reszte odrzucać, ale na produkcji nie mogę na to pozwolić, przy wyłączniu SPFa zanim rozpropagują się DNSy dużo maili zostanie odrzuconych, poza tym mam kilka domen i zanim to wszystko pokonfiguruje to troche potrwa, a nie mogę pozwolić sobie wyłączenie SPFa bo ostatnio mam dość ostry atak fake mailami.

 

 

Macie jakiś pomysł jak np. dodać serwer spamtitana na białą listę SPFa?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Może się mylę, ale nie musisz zmieniać nic w konfiguracji SPF dla swoich domen, wyłączasz tylko sprawdzanie SPF dla maili z domen przychodzących z zewnątrz, nie ma to wpływu na to czy inne serwery sprawdzą SPF dla Twoich domen. W sumie to w postfix możesz sprawdzać SPF, ale serwer na który wysyłasz mail i może tego dla Twoich domen nie robić wcale.

 

Czy przypadkiem SpamTitan nie powinien sprawdzać SPF? Ogólnie idea chyba jest taka żeby schować swój serwer za ich filtrem spamowym. Wszystkie maile powinny iść przez ich serwer, a na swoim powinieneś przyjmować tylko maile od nich.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Spamtitan owszem sprawdza spfa i to działa, problem jest z odbieraniem właśnie od spamtitana, mój spf odrzuca je ze względu na błędny SPF ( wysyła serwer spamtitan a nadawca jest całkiem kto inny, prawdziwy user). Wyłączenie tego rozwiązuje problem, ale chciałbym tego uniknąć ze względu na okres przejściowy, po wyłączeniu mój serwer zaleje syf, a zani MX spamtitana się rozpropaguja minia kilka godzin, natomiast zablokowanie innych nadawców do serwera odrzuci mi kilkadziesiat maili "czystych". Szukam rozwiązania które doda wyjątek spf dla serwerów spamtitana.

Edytowano przez murgal (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Aha sorki, nie zrozumiałem problemu. Czy w takim razie nie da się przypadkiem ustawić restrykcji by postfix przyjmował z adresów IP spamtitana bez sprawdzania spf czyli za nim zaczniesz sprawdzać SPF?

 

Może wystarczy dać permit mynetwork a w mynetwork dac IP titamspama?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Pierwsze testy zrobione po dodaniu do mynetworks IPków spamtitana i stwierdzam... że jestem idiotą i masz rację.

 

Czyli z tego co widzę IPki dodane do mytnetworks nie przechodzą ani przez postgreya, ani przez SPFa. O to właśnie chodziło. SPF w logach nawet się nie pojawia przy mailu przychodzącym z IP z mynetwork.

 

Dziękuje Ci serdecznie.

Edytowano przez Gość (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Mam jeszcze jeden problem, błędni odiorcy.

 

 

Po wysłaniu maila do odbiorcy nieznanego dostajemy zwrotkę typu:

<sdasdas@domena.pl>: unknown user: "sdasdas"
dasd dsaf ads as

Tylko że ta zwrotka jest fizycznym mailem, serwery spamowe mogą tego użyć wysyłać fake maile na nieznane adresy w ten sposób atakować inne serwery moimi zwrotkami.

 

Jest na to jakiś sposób?

 

 

W logach mam:

D0702209F2F31: to=<dasdasdsa@domena.pl>, relay=local, delay=0.23, delays=0.23/0/0/0.01, dsn=5.1.1, status=bounced (unknown user: "dasdasdsa")

I idzie mail z mojego serwera że dany user nie istnieje. Inne serwery mailowe mają opcje że to one same informują swojego usera o problemie.

 

 

Dla potomnych.

 

dodanie

 

 

reject_unlisted_recipient

 

Na 1 miejscu w smtpd_recipient_restrictions rozwiązało problem.

Edytowano przez murgal (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Pierwsze testy zrobione po dodaniu do mynetworks IPków spamtitana i stwierdzam... że jestem idiotą i masz rację.

 

Czyli z tego co widzę IPki dodane do mytnetworks nie przechodzą ani przez postgreya, ani przez SPFa. O to właśnie chodziło. SPF w logach nawet się nie pojawia przy mailu przychodzącym z IP z mynetwork.

 

Dziękuje Ci serdecznie.

 

Spoko, często jest tak że człowiek szuka niewiadomi jak skomplikowanego rozwiązania chociaż jest ono idiotycznie proste.

 

Pamiętaj że działać będzie dopóki w restrykcjach masz permit_mynetwork na samej górze, albo chociaż wyżej niż reguły sprawdzające SPF czy postgreya.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Tak, to wiem ;)

 

Musiałem troszkę reguły poprzestawiać, spf i postgrey na dole, reszta na górze i jest OK.

 

 

Jeszcze jedno pytanie, niedługo będe chciał spiąć aby serwer mógł odbierać maile TYLKO od spamtitana, więc dodam linijkę:

 

 

check_client_access hash:/etc/postfix/client_access, reject

 

w client_access:

 

spamtitan.com OK

 

 

Ale jak to ustawić smtpd_recipient_restrictions żeby było OK? W tym momencie wygląda to tak:

 

 

 

smtpd_recipient_restrictions =
reject_unknown_sender_domain,
reject_unknown_recipient_domain,
reject_invalid_hostname,
reject_unlisted_recipient,
check_sender_access hash:/etc/postfix/a-spam,
check_recipient_access hash:/etc/postfix/a-spam,
check_sender_access hash:/etc/postfix/a-mail_tylko_w_domenie_uzytkownicy,      
permit_mynetworks,
permit_sasl_authenticated,
reject_unauth_destination,
check_policy_service unix:private/policy,
reject_non_fqdn_sender,
reject_non_fqdn_recipient,
reject_unauth_destination,
reject_unverified_recipient,
reject_rbl_client cbl.abuseat.org,
reject_rbl_client proxies.blackholes.wirehub.net,
reject_rbl_client bl.spamcop.net,
reject_rbl_client xbl.spamhaus.org,
reject_rbl_client zen.spamhaus.org,
check_policy_service inet:127.0.0.1:60606
permit
smtpd_restriction_classes = local_only

local_only = check_recipient_access hash:/etc/postfix/a-mail_tylko_w_domenie_domeny, reject

 

 

Linijke:

 

 

check_client_access hash:/etc/postfix/client_access, reject

 

Dodać na końcu? Tzn?

 

 

 
...
 
reject_rbl_client zen.spamhaus.org,
check_policy_service inet:127.0.0.1:60606
permit
smtpd_restriction_classes = local_only
local_only = check_recipient_access hash:/etc/postfix/a-mail_tylko_w_domenie_domeny, reject
 
check_client_access hash:/etc/postfix/client_access, reject
 

 

 

 

Prosiłbym też o zerknięcie czy to wszystko wygląda OK, kolejność.

 

Edytowano przez murgal (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Jak działa spamtitan, przez niego przechodzą tylko maile przychodzące czy wychodzące też? Wydawało mi się że on tylko filtruje maile przychodzące, a wychodzące wychodzą i tak z Twojego serwera i już nie przechodzą przez spamtitan.

 

Kolejna sprawa to to, że check_client_access nie możesz dodać w recipient_restrictions przynajmniej według dokumentacji postfixa. Wydaje mi się że nie powinieneś tego też robić w taki sposób ponieważ ograniczasz w ten sposób że klient musi być o adresie który zostanie rozwinięty z domeny spamtitan.com, dzięki takiemu ustawieniu nie będą mogli wysyłać maili użytkownicy poczty którzy używają klienta webowego czy thunderbirda. To samo tyczyć będzie się skryptów.

Nie wiem czy nie powinieneś odrzucać wszystkich maili przychodzących i zainteresować się relay_domains. Ewentualnie dać tylko permit_mynetwork i nic więcej.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Nie nie, chodzi mi tylko o to aby mój serwer mógł ODBIERAĆ maile tylko od spamtitana ;) Po co mam mieć zbędne połączenia od jakich skanerów które omineły MXy i jadą prosto do mojego końcowego serwera.

 

 

check_client_access nie sprawdza przypadkiem czy nadawcą jest dane IP/host ? Tak zrobiłem na VPSie i działało to właśnie w ten sposób że nikt nie mógł przysłać maila (żaden serwer) tylko spamtitan.

 

 

Posiłkowałem się tym:

 

http://serverfault.com/questions/62189/postfix-only-receive-emails-from-specific-domains

 

 

Edytowano przez murgal (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×