[РЕШЕНО] postfix спам 2024 набор правил

wau	# 2 месяца, 2 недели назад (отредактировано 2 месяца, 2 недели назад)
Темы: 168 Сообщения: 1245 Участник с: 11 октября 2013	Коллеги. В сети огромное число повтоярющихся и вцелом бессмысленных инструкци по настройке парметров main.cf в части отбоя спамерам. Postfix имеет 5 встроенных разделов такого рода настроек - smtpd_client_restrictions, smtpd_helo_restrictions, smtpd_etrn_restrictions, smtpd_sender_restrictions, smtpd_recipient_restrictions. Понапридумывали вских dkim и пр. Но я не смог найти в этих параметрах, в распространенных для них наборов инструкций, хоть какое-то упоминание о проверке подписи отправителя. После давешнего обновления, падения, конвертации конфигов я попутно постарался поблокировать спамщиков и получил ощутимые улучшения. Но все равно вижу у себя в очереди на отправку (релей, казалось бы, кому попало запрещен!) письма, которые не отправлял, и даже получаю письма с имещимся в клуджах записях типа - `dkim=fail reason="signature verification failed" (1024-bit key; unprotected) header.d=artpion.ru header.i=@artpion.ru header.a=rsa-sha256 header.s=mail header.b=Gfqr7iuP X-Spam-Checker-Version: SpamAssassin 4.0.1` Сегодняшние мои настройки (этой части) в main.cf таковы - smtpd_relay_restrictions = permit_sasl_authenticated, reject_unauth_destination, reject_non_fqdn_hostname, reject_non_fqdn_sender, reject_non_fqdn_recipient, reject_unknown_recipient_domain, reject_unauth_pipelining, reject_invalid_hostname, reject_unknown_client_hostname smtpd_client_restrictions = permit_sasl_authenticated, sleep 19, reject_unknown_client_hostname, reject_unknown_reverse_client_hostname, reject_unknown_client smtpd_helo_restrictions = reject_unknown_hostname, reject_invalid_helo_hostname smtpd_etrn_restrictions = smtpd_sender_restrictions = permit_sasl_authenticated, reject_authenticated_sender_login_mismatch, reject_unknown_reverse_client_hostname, reject_unauth_destination, reject_non_fqdn_hostname, reject_unknown_sender_domain, reject_unlisted_sender, reject_non_fqdn_sender, reject_non_fqdn_recipient, reject_unknown_recipient_domain, reject_unauth_pipelining, reject_invalid_hostname, reject_unknown_helo_hostname, reject_unknown_reverse_client_hostname, reject_unknown_client_hostname, check_sender_access lmdb:/etc/postfix/zapr_mail smtpd_recipient_restrictions = permit_sasl_authenticated, reject_non_fqdn_hostname, reject_non_fqdn_sender, reject_non_fqdn_recipient, reject_unknown_recipient_domain, reject_unauth_destination, reject_unauth_pipelining, reject_invalid_hostname, reject_unlisted_recipient, reject_multi_recipient_bounce, reject_unknown_recipient_domain, Чего-то явно я не доделал. Коллеги, кто в теме, ЧЯДНТ?

# 2 месяца, 2 недели назад (отредактировано 2 месяца, 2 недели назад)

Сообщения: 1245

Участник с: 11 октября 2013

Коллеги. В сети огромное число повтоярющихся и вцелом бессмысленных инструкци по настройке парметров main.cf в части отбоя спамерам.
Postfix имеет 5 встроенных разделов такого рода настроек - smtpd_client_restrictions, smtpd_helo_restrictions, smtpd_etrn_restrictions, smtpd_sender_restrictions, smtpd_recipient_restrictions. Понапридумывали вских dkim и пр. Но я не смог найти в этих параметрах, в распространенных для них наборов инструкций, хоть какое-то упоминание о проверке подписи отправителя. После давешнего обновления, падения, конвертации конфигов я попутно постарался поблокировать спамщиков и получил ощутимые улучшения. Но все равно вижу у себя в очереди на отправку (релей, казалось бы, кому попало запрещен!) письма, которые не отправлял, и даже получаю письма с имещимся в клуджах записях типа -


dkim=fail reason="signature verification failed" (1024-bit key; unprotected) header.d=artpion.ru header.i=@artpion.ru header.a=rsa-sha256 header.s=mail header.b=Gfqr7iuP
X-Spam-Checker-Version: SpamAssassin 4.0.1

Сегодняшние мои настройки (этой части) в main.cf таковы -


smtpd_relay_restrictions =      permit_sasl_authenticated,
                                reject_unauth_destination,
                                reject_non_fqdn_hostname,
                                reject_non_fqdn_sender,
                                reject_non_fqdn_recipient,
                                reject_unknown_recipient_domain,
                                reject_unauth_pipelining,
                                reject_invalid_hostname,
                                reject_unknown_client_hostname

smtpd_client_restrictions =     permit_sasl_authenticated,
                                sleep 19,
                                reject_unknown_client_hostname,
                                reject_unknown_reverse_client_hostname,
                                reject_unknown_client

smtpd_helo_restrictions =       reject_unknown_hostname,
                                reject_invalid_helo_hostname

smtpd_etrn_restrictions =

smtpd_sender_restrictions =     permit_sasl_authenticated,
                                reject_authenticated_sender_login_mismatch,
                                reject_unknown_reverse_client_hostname,
                                reject_unauth_destination,
                                reject_non_fqdn_hostname,
                                reject_unknown_sender_domain,
                                reject_unlisted_sender,
                                reject_non_fqdn_sender,
                                reject_non_fqdn_recipient,
                                reject_unknown_recipient_domain,
                                reject_unauth_pipelining,
                                reject_invalid_hostname,
                                reject_unknown_helo_hostname,
                                reject_unknown_reverse_client_hostname,
                                reject_unknown_client_hostname,
                                check_sender_access lmdb:/etc/postfix/zapr_mail

smtpd_recipient_restrictions = permit_sasl_authenticated,
                                reject_non_fqdn_hostname,
                                reject_non_fqdn_sender,
                                reject_non_fqdn_recipient,
                                reject_unknown_recipient_domain,
                                reject_unauth_destination,
                                reject_unauth_pipelining,
                                reject_invalid_hostname,
                                reject_unlisted_recipient,
                                reject_multi_recipient_bounce,
                                reject_unknown_recipient_domain,

Чего-то явно я не доделал. Коллеги, кто в теме, ЧЯДНТ?

wau	# 2 месяца, 2 недели назад (отредактировано 2 месяца, 2 недели назад)
Темы: 168 Сообщения: 1245 Участник с: 11 октября 2013	Перечитал вчера документацию по этим вопросам https://www.postfix.org/postconf.5.html. ВРоде как все предусмотренное "включил". Но приходы с dkim=fail reason="signature verification failed" сохраняются. Демон opendkim установлен, запущен, работает, но занимается только подписью отправляемых писем. Очевидно, что и приходящую проверяет на подпись. Но как заставить отклонять почту с неверной или отсутствующей подписью? X-Spam-Report: * -0.0 SPF_PASS SPF: sender matches SPF record * 1.3 RCVD_IN_BL_SPAMCOP_NET RBL: Received via a relay in bl.spamcop.net * [Blocked - see <https://www.spamcop.net/bl.shtml?5.42.98.176>] * 0.0 SPF_HELO_NONE SPF: HELO does not publish an SPF Record * 0.8 DKIM_ADSP_ALL No valid author signature, domain signs all mail * 0.1 DKIM_SIGNED Message has a DKIM or DK signature, not necessarily * valid * 0.1 DKIM_INVALID DKIM or DK signature exists, but is not valid * 3.5 BAYES_99 BODY: Bayes spam probability is 99 to 100% * [score: 0.9940] Received: from mail.artpion.ru (artpion.ru [5.42.98.176])

wau

# 2 месяца, 2 недели назад (отредактировано 2 месяца, 2 недели назад)

Темы: 168

Сообщения: 1245

Участник с: 11 октября 2013

Перечитал вчера документацию по этим вопросам https://www.postfix.org/postconf.5.html. ВРоде как все предусмотренное "включил". Но приходы с dkim=fail reason="signature verification failed" сохраняются. Демон opendkim установлен, запущен, работает, но занимается только подписью отправляемых писем. Очевидно, что и приходящую проверяет на подпись. Но как заставить отклонять почту с неверной или отсутствующей подписью?


X-Spam-Report:
	* -0.0 SPF_PASS SPF: sender matches SPF record
	*  1.3 RCVD_IN_BL_SPAMCOP_NET RBL: Received via a relay in bl.spamcop.net
	*      [Blocked - see <https://www.spamcop.net/bl.shtml?5.42.98.176>]
	*  0.0 SPF_HELO_NONE SPF: HELO does not publish an SPF Record
	*  0.8 DKIM_ADSP_ALL No valid author signature, domain signs all mail
	*  0.1 DKIM_SIGNED Message has a DKIM or DK signature, not necessarily
	*      valid
	*  0.1 DKIM_INVALID DKIM or DK signature exists, but is not valid
	*  3.5 BAYES_99 BODY: Bayes spam probability is 99 to 100%
	*      [score: 0.9940]
Received: from mail.artpion.ru (artpion.ru [5.42.98.176])

wau	# 2 месяца, 2 недели назад (отредактировано 2 месяца, 2 недели назад)
Темы: 168 Сообщения: 1245 Участник с: 11 октября 2013	Указанным выше антиспамовы способности postfix исчерпаны. Дополнительно для отклонения не подписанных DKIM писем в файл /etc/opendkim/opengkim.conf следует добавить две строки - `On-BadSignature reject On-NoSignature reject` Это комплекс мер снизил объемы спама примерно на порядок по всему зоопарку используемых мною мейлов. Подробный просмотр "пробивающихся" писем показывает, что они легально рассылаются по базам, в которых есть мои адреса, через живые smpt сервера, частенько - взломанные. Дальнейшая борьба видится бессмысленной, поскольку может опираться уже только на использование "черных списков" отправителей, свой коротенький /etc/postfix/zapr_mail я веду сам (см. конфиг в первом сообщении), а прописывать использование чужих, публичных, пока не хочу.

wau

# 2 месяца, 2 недели назад (отредактировано 2 месяца, 2 недели назад)

Темы: 168

Сообщения: 1245

Участник с: 11 октября 2013

Указанным выше антиспамовы способности postfix исчерпаны.
Дополнительно для отклонения не подписанных DKIM писем в файл /etc/opendkim/opengkim.conf следует добавить две строки -


On-BadSignature reject
On-NoSignature reject

Это комплекс мер снизил объемы спама примерно на порядок по всему зоопарку используемых мною мейлов. Подробный просмотр "пробивающихся" писем показывает, что они легально рассылаются по базам, в которых есть мои адреса, через живые smpt сервера, частенько - взломанные. Дальнейшая борьба видится бессмысленной, поскольку может опираться уже только на использование "черных списков" отправителей, свой коротенький /etc/postfix/zapr_mail я веду сам (см. конфиг в первом сообщении), а прописывать использование чужих, публичных, пока не хочу.