Настройка почты

Или RBL, или покупать прокси от Касперского. Другого не знаю. :)

RBL - это что-то вроде подписки на blacklist? Если да, то может подскажете какой-нибудь адекватный и за приемлемые деньги?

У меня пока бесплатные работают. Но есть косяки. Есть один Российский RBL. Есть ошибочные срабатывания. Сейчас делаю автоматические белые списки и т.д.

Это на входящую почту. А может есть что для защиты изнутри? Что бы заражённые клиенты не успели дел натворить, пока их не вылечат. Я нагуглил и поставил ограничения на количество отправленных в промежуток времени, но не уверен, что правильно сделал. И в любом случае спасибо

Думаю правильно поступил. У меня был однажды взлом, но у меня канал не большой, мне позвонили, сказали, что почта сдохла. Полез в очередь - обомлел...

Я имею ввиду, что не уверен, что нормально ограничил. Недавно в морде Zimbra увидел порядка 6000 тысяч сообщений на графике. Перечитал все логи от почты, ничего подозрительного не нашёл кроме кучи движений от ящика admin на ящики с именами похожими на хеш. Но никто меня не заблокировал, сообщений от провайдера не получал, в списки спамеров не попал. Вот и не знаю что это было. Сижу ломаю голову что я мог пропустить и не доделать

Сам не знаю. Такая же ерунда. Забил.

mynetworks = 127.0.0.0/8 И не больше. В локалке такие же враги как и снаружи. :)

Еще адекватные RBL:

reject_rbl_client bl.spamcop.net,
reject_rbl_client zen.spamhaus.org,
reject_rbl_client dnsbl.sorbs.net

Что кругом враги - это я в курсе. Но этим врагам надо позволить отсылать почту, а как они будут это делать если они будут исключены из mynetworks? И опять же - если они всё равно смогут отсылать почту при таких настройках, то кто им запретит рассылать спам при тех же условиях?

Для «своих» хватит и permit_sasl_authenticated

Примерчик:

smtpd_client_restrictions = permit_sasl_authenticated,
check_client_access hash:/etc/postfix/list/vip_ip,
check_client_access regexp:/etc/postfix/list/regexp_client,
reject_rbl_client bl.spamcop.net,
reject_rbl_client zen.spamhaus.org,
reject_rbl_client dnsbl.sorbs.net,
reject_unknown_client

Во я дуб, обязательная аутентификация настроена, но я так понимаю что mynetworks - это как раз дыра. Если permit_mynetworks будет стоять перед permit_sasl_authenticated, то все из локальной сети просто сразу будут аутентифицированы безо всяких вопросов? Ща порублю

Еще один трюк спамерюгам от постфикса.

После первого неудачного соединения почтовик начинает «тупить» c ответами.

smtpd_soft_error_limit = 1 ### число попыток впюрить почтовику например (невалидного узера)
smtpd_error_sleep_time = 10 ### время ответа добавляемое ПОСЛЕ каждой неудачи спамера
smtpd_hard_error_limit = 2

Спасибо, это попробую. А удалить локальную сеть из постфикса не удалось. Точнее - не удалось удалить из веб морды Zimbra. Она что-то начала блеять про необходимость и бла-бла-бла. В файле конфигурации мне, конечно, ни кто не может запретить удалить всё что хочется. Но после слезливых жалоб от Zimbra web gui не стал рисковать.

Скорее всего нужно вместо всей локалки прописать только IP самого сервера. Наружний и локальный.

А наружный нафига? Сервер же про него ничего не знает. И он нигде не светится в логах. На нём затычка для dns стоит, что бы он своё имя резолвил. И оно резолвится во внутренний адрес.

Пардон. Просто наружний у меня прописан. На почтовике стоит самопальный скрипт перловский. Чтоб ему не прикручивать аутификацию.

В любом случае спасибо. Замечание про mynetworks и некоторые примеры конфига учёл.