Gibt es ein schnelles Postfix-Konfigurationselement, das ich hinzufügen kann, um eingehende E-Mails abzulehnen, die FROM mydomain sind und nicht authentifiziert wurden?
Nicht so schnell, aber man könnte eine einfache Implementierung SMTPD Politik und holt die sender
und sasl_username
und prüfen, ob die erste von Ihrer Domain kommt und die zweite besteht und kommt auch aus Ihrer Domain, wenn ja, Rückkehr DUNNO
, andernfalls REJECT
. Auf diese Weise stellen Sie sicher, dass für eingehende E-Mails, wenn diese von Ihren Benutzern stammen, die SASL-Authentifizierung erfolgen muss.
Um genau zu sein, das ist mein postfix conf:
Es gibt einige zusätzliche Elemente, die Sie Ihrer smtpd_recipient_restrictions
Richtlinie hinzufügen können, um den Spam zu stoppen und gleichzeitig Ihre Sicherheit zu verbessern:
smtpd_sender_restrictions = permit_mynetworks reject_unknown_sender_domain reject_sender_login_mismatch reject_unauth_pipelining reject_non_fqdn_sender permit
Was bedeutet, dass jedes auf der Seite " Postfix Configuration Parameters " zu finden ist.
Es gibt einige zusätzliche Elemente, die Sie möglicherweise einschließen möchten, um den Spam zu stoppen:
SPF
ist einer von ihnen, aber ich stimme zu, dass das Blockieren von nicht übereinstimmenden Tests recht schwer ist, wenn man bedenkt, dass einige schlecht implementierte Mailing-Listen E-Mails mit der ursprünglichen Absenderadresse von ihren Servern senden, sodass sie ausfallen.DKIM
ist auch sehr mächtig (checkOpenDKIM
).SpamAssassin
kann in diesem Fall sehr hilfreich sein. E-Mails werden nicht blockiert, es wird jedoch ein Spam-Header hinzugefügt und somit klassifiziert.Sie haben keine Postfix-Nachricht für einen dieser gefälschten Versuche bereitgestellt, Sie können jedoch überprüfen, ob sie von derselben IP-Adresse oder zumindest einer konkreten CIDR-Adresse stammen und sie mit dem
smtpd_client_restrictions
Parameter in eine schwarze Liste setzen .Dasselbe kann auf die
HELO/EHLO
Nachricht angewendet und in eingefügt werdensmtpd_helo_restrictions
.
Wie Sie sehen, gibt es viele Möglichkeiten. Vielleicht finden Sie eine Kombination, die zu Ihrem Fall passt, und stoppen Sie alle gefälschten Versuche.