株式会社ソフトエイジェンシー

postfix/迷惑(SPAM)メール対策


Postfix

はじめに

まず読んでみてほしい資料

  • MTAのアクセス制御
    このサイトはメールサーバのポリシーを設定する上で勉強になります。

参考にしたサイト

Debianでtarpitting

tarpttingはスパムを送信しそうなサーバに対して応答を延滞し相手に送信をあきらめさせる手法です。postfix 2.3以降で利用できるsleep機能を利用します。sargeではpostfixのバージョンが古いのでsleep機能が使えません。しかしbackportsを利用すれば2.3.7がインストールできsleep機能を利用できるようになります。

  • /etc/apt/sources.listに下記を追加
    deb http://backports.mithril-linux.org/ sarge-backports main non-free contrib
  • インストール
    # aptitude -t sarge-backports install postfix
    注)postfix-tlsはpostfixに統合されているので削除されます。

Debianでgreylisting

greylistingはスパムを送信しそうなサーバに対して再送要求を出し、いったん接続を切ります。通常のサーバであれば、再送を行いますがスパムを送信するプログラムは再送しないことが多いことを利用した手法です。postfix用にはpostgreyというパッケージが用意されています。

  • インストール
    # aptitude install postgrey

実際の設定 tarpitting + greylisting

  • 参考サイトよりも少し緩めた状態です。FQDNチェックはtarpitting + greylistingの対象ですが、拒否は一切しません。

/etc/postfix/main.cfの一部

smtpd_restriction_classes =
        greylist_client
        reject_client_s25r
        reject_client_nothotmail
        check_sender_apacheinfo

greylist_client =
        check_policy_service inet:127.0.0.1:60000
reject_client_s25r =
        check_client_access    regexp:/etc/postfix/reject_client_s25r
reject_client_nothotmail =
        check_client_access    regexp:/etc/postfix/reject_client_nothotmail
check_sender_apacheinfo =
        check_sender_access    regexp:/etc/postfix/check_sender_apacheinfo

smtpd_recipient_restrictions =
    permit_sasl_authenticated
    permit_mynetworks
    reject_unauth_destination
    check_client_access    hash:/etc/postfix/whitelist_client
    reject_invalid_hostname
    reject_unknown_sender_domain
    reject_multi_recipient_bounce
    check_helo_access   hash:/etc/postfix/reject_helo
    check_sender_ns_access hash:/etc/postfix/reject_ns
    check_sender_mx_access hash:/etc/postfix/reject_mx
    check_helo_access   regexp:/etc/postfix/check_helo
    check_client_access regexp:/etc/postfix/warn_client
    check_client_access regexp:/etc/postfix/tarpit_client
    check_client_access regexp:/etc/postfix/greylist_client

結果

スパムは激減しました。明らかな不正以外は拒否しないので誤検出もいまのところありません。でもtarpittingはサーバのリソースは消費し、greylistingは遅配の原因となります。設定の意味を理解できない方は、まず動作の理解を深めてから使用しましょう。


トップ   編集 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2008-01-08 (火) 16:39:24 (3697d)