opensuse
[Arriba] [Todas las Listas]

Re: [opensuse] 11.4 - Postfix Spam Pasos de filtro para configurar con I

To: opensuse@xxxxxxxxxxxx
Subject: Re: [opensuse] 11.4 - Postfix Spam Pasos de filtro para configurar con Intercambio server 2010
From: Sandy Drobic <opensuse@xxxxxxxxx>
Date: Thu, 15 Sep 2011 01:01:10 +0200
Delivered-to: opensuse@xxxxxxxxxxxxxxxxxxx
Delivery-date: Wed, 14 Sep 2011 19:02:44 -0400
Envelope-to: traductor@xxxxxxxxxxx
In-reply-to: <4E7124A6.6070204@drobic.de>
List-archive: <http://lists.opensuse.org/opensuse/>
List-help: <mailto:opensuse+help@opensuse.org>
List-owner: <mailto:opensuse+owner@opensuse.org>
List-post: <mailto:opensuse@opensuse.org>
List-subscribe: <mailto:opensuse+subscribe@opensuse.org>
List-unsubscribe: <mailto:opensuse+unsubscribe@opensuse.org>
Mailing-list: contact opensuse+help@xxxxxxxxxxxx; run by mlmmj
References: <CA+jbEwOQYLr_Vc69taz7zF6fS1cz9TrxbHLPRdCyr-T1JW5X9A@mail.gmail.com> <4E7124A6.6070204@drobic.de>
User-agent: Mozilla/5.0 (Windows NT 5.1; rv:6.0.2) Gecko/20110902 Thunderbird/6.0.2
En 15.09.2011 00:03, Sandy *Drobic escribió:
> En 14.09.2011 22:27, *Gurvinder *Trehan escribió:
>> Abierto *Suse 1.4 - *Postfix *Spam Pasos de filtro para configurar con Intercambio *server 2010
> 
> *Uh... Odio preguntar pero te es ofreciendo un qué-a o te es pidiendo consejo
> cómo para montar *Postfix como *spamfilter delante de Intercambio?

*Okay, justo vi vuestro primero probar a correo en un *hijacked hilo. (^-^)

El primer y paso más importante no es la configuración real pero la decisión
lo que clase de política deseas implementar. A Cosas les gusta:

- cómo importante lo es no para rehusar un correo que el *recipient deseos de recibir,
incluso si el envío *server maltrata todas las  reglas cómo para montar un propio
*mailserver comparado a la cantidad de *spam que puede todavía resbalón #por si
configuras una menos política estricta en vuestro *server

- cuánto *spam puede padeces antes de que estás buscando maneras más eficaces
para rehusar *spam

- qué clase de uso  esperas para vuestro *server. Si es un sistema fuertemente
utilizado con millones de correos por día probablemente quieres montar varios
*redundant anfitriones y no utilizar *pre-*queue filtrando. Si el sistema que corre con carga
ligera podrías utilizar *pre-*queue filtrando para rehusar correos que el filtro
de contenido identifica tan *spam.


La mayoría de configuración básica y sencilla:

*Postfix es montado como *relayhost en intercambio. En vuestro *Postfix *server tienes que
configurar estos *settings:

/*etc/*postfix/principal.*cf:

*mydestination =
Mapas_de transporte = *hash:/*etc/*postfix/transporta
*inet_interfaces = todo
*mynetworks =
	127.0.0.1,
	*ip.De.Correo.Fija
	*ip.De.*ex.Cambio
*relay_ámbitos = /*etc/*postfix/*relay_ámbitos
# *relay_*recipient_mapas = *hash:/*etc/*postfix/*relay_*recipients_nuevo
*smtpd_*recipient_permiso =
	de restricciones_*mynetworks,
	rehusa_*unauth_destino,
#	rehusa_*unverified_*recipient

/*etc/*postfix/*relay_ámbitos:
*relay.Ámbito.*tld	Ámbito1
otro.Ámbito.*tld	Ámbito2

/*etc/*postfix/transporte:
*relay.Ámbito.*tld	*relay:[*ip.De.*ex.Cambio]
otro.Ámbito.*tld	*relay:[*ip.De.*ex.Cambio]


Esto es la configuración básica absoluta que dice *Postfix para qué ámbitos
es responsable, cómo para comprobar para válido *recipients (tampoco tienes una lista
de válido *recipients en *relay_*recipient_mapas (un guión que *periodically comprueba
el anuncio y les vierte en un *textfile, *ldap acceso a ANUNCIO *etc..) O dices
*Postfix para preguntar el *backend intercambio si el *recipient *ist válido con rehusar_*unverified_*recipients).
Entonces los mapas_de transporte dicen *Postfix dónde para
enviar los correos aceptados del *relay_ámbitos.

El Paso próximo es para configurar básico *anti *spam medidas con *Postfix:

La mayoría de estos controles adicionales son en *smtpd_*recipient_restricciones:



/*etc/*postfix/principal.*cf:
[....]
*smtpd_*helo_Requirió = sí
*smtpd_*recipient_las restricciones =
	rehusan_no_*fqdn_*recipient,
	rehusa_no_*fqdn_*sender,
	permiso_*mynetworks,
	rehusa_*unauth_destino,
	rehusa_*unverified_*recipient
#	acceso_de cliente_del control *hash:/*etc/*postfix/cliente_*whitelist
#	acceso_de cliente_del control *pcre:/*etc/*postfix/cliente_*blacklist_*pcre
        rehusa_inválido_*helo_*hostname,
        rehusa_no_*fqdn_*helo_*hostname,
	rehusa_*unknown_*sender_ámbito,
        rehusa_*rbl_cliente *zen.*spamhaus.*org,
    	rehusa_*rbl_cliente *ix.*dnsbl.*manitu.Cliente

neto_*whitelist y cliente_*blacklist no es exactamente necesitado para filtrar pero
cuándo empleas *anti *spam te mide  probablemente sistemas de encuentro
configurados mal bastante para provocarte comprueba. Entonces necesitarás el
*whitelist a *skip los controles después del *whitelist.

Aquello ya cogerá 50-80 #per cent del *spam intentos.
Si que no es suficiente te puede añadir más *blacklists como *spamcop.

Pero probablemente te ha logrado el punto donde *Postfix sólo no será bastante.
Entonces puedes añadir *greylisting (necesita un servicio de política que ofrece *greylisting),
el contenido que filtra como *spamassassin (la mayoría de *admins uso *amavisd-nuevo que ofertas un
muy popular *perl marco para añadir el virus que comprueba y *spam filtrando con *spamassassin).


Dejado dejar estos pasos puesto que cuándo te montaste el sistema básico y él está corriendo
fiables.

También tendrías que considerar vuestro entorno. Un *mailserver confía fuertemente en DNS,
así que el *dns *server que *postfix los usos tienen que ser disponibles y ayuno. Podrías querer
montar un local *dns *server o al menos un *caching *server en vuestro *postfix caja.
Dependiendo en vuestro volumen podrías tener que *fiddle con límites de proceso para dejar
bastante *smptd procesos (para recibir) y *smtp procesos (para envío).

Si ya tienes un sistema configurado con *postfix entonces correo cuestiones más
detalladas y la configuración (producción de orden "*postconf -*n" y el
contenido de /*etc/*postfix/maestro.*cf). También, qué exactamente intentas conseguir. Mi
configuración no podría conocer vuestros requisitos. Sin saber estos
requisitos es difícil de adivinar lo que tú realmente necesidad.

Sandy


-- 
A *unsubscribe, *e-correo: *opensuse+unsubscribe@xxxxxxxxxxxx
Puesto que órdenes adicionales, *e-correo: *opensuse+help@xxxxxxxxxxxx


On 15.09.2011 00:03, Sandy Drobic wrote:
> On 14.09.2011 22:27, Gurvinder Trehan wrote:
>> Open Suse 1.4 - Postfix Spam filter Steps to configure with Exchange server 2010
> 
> Uh... I hate to ask but are you offering a how-to or are you asking for advice
> how to set up Postfix as a spamfilter in front of Exchange?

Okay, I just saw your first try to post in a hijacked thread. (^-^)

The first and most important step is not the actual configuration but the
decision what kind of policy you wish to implement. Things like:

- how important is it not to reject a mail that the recipient wishes to
receive, even if the sending server abuses all rules how to set up a proper
mailserver compared to the amount of spam that might still slip through if you
configure a less strict policy on your server

- how much spam can you suffer before you are looking for more effective ways
to reject spam

- what kind of usage do you expect for your server. If it is a heavily used
system with millions of mails per day you probably want to set up several
redundant hosts and not use pre-queue filtering. If the system running with
light load you could use pre-queue filtering to reject mails that the content
filter identifies as spam.


Most basic and simple configuration:

Postfix is set up as a relayhost in exchange. On your Postfix server you must
configure these settings:

/etc/postfix/main.cf:

mydestination =
transport_maps = hash:/etc/postfix/transport
inet_interfaces = all
mynetworks =
	127.0.0.1,
	ip.of.post.fix
	ip.of.ex.change
relay_domains = /etc/postfix/relay_domains
# relay_recipient_maps = hash:/etc/postfix/relay_recipients_new
smtpd_recipient_restrictions =
	permit_mynetworks,
	reject_unauth_destination,
#	reject_unverified_recipient

/etc/postfix/relay_domains:
relay.domain.tld	domain1
another.domain.tld	domain2

/etc/postfix/transport:
relay.domain.tld	relay:[ip.of.ex.change]
another.domain.tld	relay:[ip.of.ex.change]


This is the absolute basic configuration that tells Postfix for which domains
it is responsible, how to check for valid recipients (either you have a list
of valid recipients in relay_recipient_maps (a script that periodically checks
the ad and dumps them in a textfile, ldap access to AD etc..) or you tell
Postfix to ask the backend exchange if the recipient ist valid with
reject_unverified_recipients). Then the transport_maps tell Postfix where to
send the accepted mails of the relay_domains.

Next step is to configure basic anti spam measures with Postfix:

Most of these additional checks are in smtpd_recipient_restrictions:



/etc/postfix/main.cf:
[....]
smtpd_helo_required = yes
smtpd_recipient_restrictions =
	reject_non_fqdn_recipient,
	reject_non_fqdn_sender,
	permit_mynetworks,
	reject_unauth_destination,
	reject_unverified_recipient
#	check_client_access hash:/etc/postfix/client_whitelist
#	check_client_access pcre:/etc/postfix/client_blacklist_pcre
        reject_invalid_helo_hostname,
        reject_non_fqdn_helo_hostname,
	reject_unknown_sender_domain,
        reject_rbl_client zen.spamhaus.org,
    	reject_rbl_client ix.dnsbl.manitu.net

client_whitelist and client_blacklist are not exactly needed for filtering but
when you employ anti spam measures you will likely encounter systems
configured badly enough to trigger you checks. Then you will need the
whitelist to skip the checks after the whitelist.

That will already catch 50-80 percent of the spam attempts.
If that is not sufficient you can add more blacklists like spamcop.

But likely you have reached the point where Postfix alone will not be enough.
Then you can add greylisting (needs a policy service that offers greylisting),
content filtering like spamassassin (most admins use amavisd-new that offers a
very popular perl framework to add virus checking and spam filtering with
spamassassin).

Let's leave these steps for when you set up you basic system and it is running
reliable.

You should also consider your environment. A mailserver relies heavily on DNS,
so the dns server that postfix uses must be available and fast. You might want
to set up a local dns server or at least a caching server on your postfix box.
Depending on your volume you might have to fiddle with process limits to allow
enough smptd processes (for receiving) and smtp processes (for sending).

If you already have a system configured with postfix then post more detailed
questions and the configuration (output of command "postconf -n" and the
content of /etc/postfix/master.cf). Also, what exactly you try to achieve. My
configuration might not meet your requirements. Without knowing these
requirements it is difficult to guess what you really need.

Sandy


-- 
To unsubscribe, e-mail: opensuse+unsubscribe@xxxxxxxxxxxx
For additional commands, e-mail: opensuse+help@xxxxxxxxxxxx


<Anterior por Tema] Tema Actual [Siguiente por Tema>