wau |
|
Темы:
161
Сообщения:
1213
Участник с: 11 октября 2013
|
Коллеги. В сети огромное число повтоярющихся и вцелом бессмысленных инструкци по настройке парметров main.cf в части отбоя спамерам. Postfix имеет 5 встроенных разделов такого рода настроек - smtpd_client_restrictions, smtpd_helo_restrictions, smtpd_etrn_restrictions, smtpd_sender_restrictions, smtpd_recipient_restrictions. Понапридумывали вских dkim и пр. Но я не смог найти в этих параметрах, в распространенных для них наборов инструкций, хоть какое-то упоминание о проверке подписи отправителя. После давешнего обновления, падения, конвертации конфигов я попутно постарался поблокировать спамщиков и получил ощутимые улучшения. Но все равно вижу у себя в очереди на отправку (релей, казалось бы, кому попало запрещен!) письма, которые не отправлял, и даже получаю письма с имещимся в клуджах записях типа -
Сегодняшние мои настройки (этой части) в main.cf таковы -
Чего-то явно я не доделал. Коллеги, кто в теме, ЧЯДНТ? |
wau |
|
Темы:
161
Сообщения:
1213
Участник с: 11 октября 2013
|
Перечитал вчера документацию по этим вопросам https://www.postfix.org/postconf.5.html. ВРоде как все предусмотренное "включил". Но приходы с dkim=fail reason="signature verification failed" сохраняются. Демон opendkim установлен, запущен, работает, но занимается только подписью отправляемых писем. Очевидно, что и приходящую проверяет на подпись. Но как заставить отклонять почту с неверной или отсутствующей подписью?
|
wau |
|
Темы:
161
Сообщения:
1213
Участник с: 11 октября 2013
|
Указанным выше антиспамовы способности postfix исчерпаны. Дополнительно для отклонения не подписанных DKIM писем в файл /etc/opendkim/opengkim.conf следует добавить две строки - Это комплекс мер снизил объемы спама примерно на порядок по всему зоопарку используемых мною мейлов. Подробный просмотр "пробивающихся" писем показывает, что они легально рассылаются по базам, в которых есть мои адреса, через живые smpt сервера, частенько - взломанные. Дальнейшая борьба видится бессмысленной, поскольку может опираться уже только на использование "черных списков" отправителей, свой коротенький /etc/postfix/zapr_mail я веду сам (см. конфиг в первом сообщении), а прописывать использование чужих, публичных, пока не хочу.
|