avis sur mon main.cf

Le
Tekpi
Bonjour à tous,

voici mon main.cf de postfix, j'ai tenté de mettre une solution trÃ=
¨s
restrictive pour éviter de recevoir trop de spam, pouvez-vous me donne=
r
votre avis :

mydestination = $myhostname, localhost.localdomain, localhost.localdomain=
,
localhost
relayhost = smtp.demonprovider.com
mynetworks = 127.0.0.0/8 192.168.0.0/24
recipient_delimiter = +
inet_interfaces = $myhostname, localhost
transport_maps = hash:/etc/postfix/transport
virtual_alias_maps = hash:/etc/postfix/virtual
smtp_banner = $myhostname ESMTP $mail_name
mail_name = temp
maximal_queue_lifetime = 4d
smtp_helo_timeout = 60s
smtpd_recipients_limit = 16
smtpd_soft_error_limit = 3
smtpd_hard_error_limit = 12
smtpd_helo_restrictions = permit_mynetworks
smtpd_delay_reject = yes
disable_vrfy_command = yes
content_filter = smtp-amavis:[127.0.0.1]:10024
mailbox_command = procmail -a "$EXTENSION"
strict_rfc821_envelopes = yes
mailbox_size_limit = 0
virtual_mailbox_limit = 52428800
bounce_queue_lifetime = 2h
smtpd_client_restrictions = permit_mynetworks, reject_unknown_client
smtpd_data_restrictions = reject_unauth_pipelining

# Rejeter tout mail mal formaté
smtpd_helo_required = yes
smtpd_helo_restrictions = permit_mynetworks, reject_non_fqdn_hostname

#smtpd_sender_restrictions =
reject_non_fqdn_sender,
reject_unknown_address
reject_maps_rbl

#notify_classes = resource,software,bounce,policy,protocol,delay
#error_notice_recipient = postmaster

# Règles RBL + Tri sur le format du mail
smtpd_recipient_restrictions =
permit_mynetworks,
check_sender_access hash:/etc/postfix/sender_ok,
reject_non_fqdn_sender,
reject_non_fqdn_recipient,
reject_unknown_sender_domain,
reject_unknown_recipient_domain,
reject_unauth_destination,
reject_unauth_pipelining,
reject_invalid_hostname,
reject_rbl_client relays.ordb.org,
reject_rbl_client sbl-xbl.spamhaus.org,
reject_rbl_client bl.spamcop.net,
check_policy_service inet:127.0.0.1:60000,
permit



merci à vous
--
View this message in context: http://www.nabble.com/avis-sur-mon-main.cf-tp=
14432832p14432832.html
Sent from the debian-user-french mailing list archive at Nabble.com.
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Guillaume Coeugnet
Le #9635741
> -----Message d'origine-----
De : Tekpi [mailto:]
Envoyé : jeudi 20 décembre 2007 10:12
À :
Objet : avis sur mon main.cf


Bonjour à tous,

voici mon main.cf de postfix, j'ai tenté de mettre une
solution très restrictive pour éviter de recevoir trop de
spam, pouvez-vous me donner votre avis :

mydestination = $myhostname, localhost.localdomain,
localhost.localdomain, localhost relayhost =
smtp.demonprovider.com mynetworks = 127.0.0.0/8
192.168.0.0/24 recipient_delimiter = + inet_interfaces =
$myhostname, localhost transport_maps =
hash:/etc/postfix/transport virtual_alias_maps =
hash:/etc/postfix/virtual smtp_banner = $myhostname ESMTP
$mail_name mail_name = temp maximal_queue_lifetime = 4d
smtp_helo_timeout = 60s smtpd_recipients_limit = 16
smtpd_soft_error_limit = 3 smtpd_hard_error_limit = 12
smtpd_helo_restrictions = permit_mynetworks
smtpd_delay_reject = yes disable_vrfy_command = yes
content_filter = smtp-amavis:[127.0.0.1]:10024
mailbox_command = procmail -a "$EXTENSION"
strict_rfc821_envelopes = yes
mailbox_size_limit = 0
virtual_mailbox_limit = 52428800
bounce_queue_lifetime = 2h
smtpd_client_restrictions = permit_mynetworks,
reject_unknown_client smtpd_data_restrictions =
reject_unauth_pipelining

# Rejeter tout mail mal formaté
smtpd_helo_required = yes
smtpd_helo_restrictions = permit_mynetworks, reject_non_fqdn_hostname

#smtpd_sender_restrictions =
reject_non_fqdn_sender,
reject_unknown_address
reject_maps_rbl

#notify_classes = resource,software,bounce,policy,protocol,delay
#error_notice_recipient = postmaster

# Règles RBL + Tri sur le format du mail
smtpd_recipient_restrictions =
permit_mynetworks,
check_sender_access hash:/etc/postfix/sender_ok,
reject_non_fqdn_sender,
reject_non_fqdn_recipient,
reject_unknown_sender_domain,
reject_unknown_recipient_domain,
reject_unauth_destination,
reject_unauth_pipelining,
reject_invalid_hostname,
reject_rbl_client relays.ordb.org,
reject_rbl_client sbl-xbl.spamhaus.org,
reject_rbl_client bl.spamcop.net,
check_policy_service inet:127.0.0.1:60000,
permit



- Tu as mis deux fois "localhost.localdomain" dans ton mydestination
- Le smtp_sender_restrictions est commenté
- J'ai installé postfix il y a 1 petit mois, je suis encore en rodage dessus
mais ta conf ne me semble pas mauvaise.
- Le spam se filtrera plus au niveau de spamassassin que de postfix. Je dois
avoir moins de 10% de spam rejettés par smtpd dont la majeure partie grâce à
la restriction du FQDN.

Guillaume.
Tekpi
Le #9635731
Correction, la ligne "smtpd_sender_restrictions ="

est décommenté (dsl pr l'erreur), sinon je vous raconte pas les e rreurs de
démarrage de postfix lol

merci pour vos avis
--
View this message in context: http://www.nabble.com/avis-sur-mon-main.cf-tp 14432832p14432938.html
Sent from the debian-user-french mailing list archive at Nabble.com.
mouss
Le #9635561
Tekpi wrote:
Bonjour à tous,

voici mon main.cf de postfix, j'ai tenté de mettre une solution très
restrictive pour éviter de recevoir trop de spam, pouvez-vous me donner
votre avis :

mydestination = $myhostname, localhost.localdomain, localhost.localdomain,
localhost



pour éviter les surprises, il vaut mieux définir myhostname et mydomain
explicitement. ça évite les problèmes quand on joue avec le hostname de
la machine.

relayhost = smtp.demonprovider.com



relayhost = [smtp.demonprovider.com]

avec des crochets pour éviter un requête MX.

mynetworks = 127.0.0.0/8 192.168.0.0/24
recipient_delimiter = +
inet_interfaces = $myhostname, localhost



inet_interfaces = all
est conseillé. et comme c'est la valeur par défaut, autant virer toute
la ligne.

jouer avec inet_interfaces cause des ennuis.

transport_maps = hash:/etc/postfix/transport
virtual_alias_maps = hash:/etc/postfix/virtual
smtp_banner = $myhostname ESMTP $mail_name



tu peux virer cette ligne. c'est la valeur par défaut. En général, il ne
faut pas remettre les valeurs par défaut. comme ça, à la mise à jour, tu
auras la nouvelle valeur par défaut (qui sera mieux, sinon elle n'aura
pas été choisie dans la mise à jour!).

mail_name = temp



ça sert à rien de cacher que c'est un postfix. ça prend 3 secondes de
s'en rendre compte. essaye:
# telnet serveur 25
GET / HTTP/1.0

essaye la même chose sur des serveurs différents, et tu verras qu'on
voit vite un postfix.

Mieux vaut laisser la valeur par défaut.

maximal_queue_lifetime = 4d
smtp_helo_timeout = 60s
smtpd_recipients_limit = 16
smtpd_soft_error_limit = 3
smtpd_hard_error_limit = 12



pas de commentaire sur ces valeurs. si tu n'as pas de raison vraiment
spéciale, il ne faut pas changer les valeurs.

smtpd_helo_restrictions = permit_mynetworks



ça ne sert à rien. par défaut, c'est "permit". donc ajouter un
permit_mynetworks ne change rien au résultat.
tu peux virer la ligne.

smtpd_delay_reject = yes
disable_vrfy_command = yes
content_filter = smtp-amavis:[127.0.0.1]:10024
mailbox_command = procmail -a "$EXTENSION"
strict_rfc821_envelopes = yes
mailbox_size_limit = 0
virtual_mailbox_limit = 52428800
bounce_queue_lifetime = 2h
smtpd_client_restrictions = permit_mynetworks, reject_unknown_client



La, ça dépend du site. si c'est perso, je ne vois pas de problème. si
c'est professionnel, ça va faire des dégats. Tout d'abord, plusieurs
sites ont une mauvaise config DNS. Mais même en décidant qu'ils n'ont
qu'à se démerder, il reste le cas des problèmes DNS (telmps de réponse
causant un timeout, ...) qui vont faire des erreurs temporaires et donc
retarder le mail.


smtpd_data_restrictions = reject_unauth_pipelining

# Rejeter tout mail mal formaté
smtpd_helo_required = yes
smtpd_helo_restrictions = permit_mynetworks, reject_non_fqdn_hostname



ah. tu répetes smtpd_helo_restrictions. il faut virer la première.
tu peux ajouter
reject_invalid_hostname
(je ne vois pas pourquoi t'accepterais "j?^<f" et pas "popo").

cela dit, tu peux tout mettre dans smtpd_recipient_restrictions,
histoire de pouvoir choisir l'ordre d'execution.


#smtpd_sender_restrictions


ça a deja été dit. attention au '#'...

reject_non_fqdn_sender,



ça, tu l'as déjà dans smtpd_recipient_restrictions. pas la peine de le
répeter. finalement tu peux virer smtpd_sender_restrictions completement.

reject_unknown_address



c'est quoi reject_unknown_address? ne serait-ce pas
reject_unknown_sender_domain
plutot?


reject_maps_rbl



et ça?




#notify_classes = resource,software,bounce,policy,protocol,delay
#error_notice_recipient = postmaster
# Règles RBL + Tri sur le format du mail
smtpd_recipient_restrictions > permit_mynetworks,



mets
reject_unauth_destination
ici. sinon, gare au "relai ouvert"...

check_sender_access hash:/etc/postfix/sender_ok,



il ne faut pas faire confiance à l'adresse de l'expéditeur pour faire du
relai. ça peut rester "caché" pendant quelques jours (voire plus), mais
ce sera découvert et là, ça fera mal. donc après
reject_unauth_destination...

reject_non_fqdn_sender,
reject_non_fqdn_recipient,



ici tu peux ajouter
reject_invalid_hostname
reject_non_fqdn_hostname

tu peux aussi ajoter
reject_unlisted_sender
reject_unlisted_recipient

histoire d'éviter des appels DNS quand les adresses sont fausses.

reject_unknown_sender_domain,
reject_unknown_recipient_domain,
reject_unauth_destination,



c'est plus haut qu'il faut le mettre. ne jamais mettre un permit ou un
ok avant reject_unauth_destination, sauf si on est sûr du coup. en gros,
on peut mettre permit_mynetworks (whitelist par IP),
permit_sasl_authenticated (whitelist par authentification), mais pas un
check_sender_access, qui est facilement falsifié...

reject_unauth_pipelining,



ça sert à rien ici. RCPT TO est une commande "asynchrone". le standard
autorise donc de faire du pipelining ici.

reject_invalid_hostname,


comme il coute pas grand chose, mieux vaut le mettre plus haut.

reject_rbl_client relays.ordb.org,



t'es sûr qu'elle existe encore cette liste? ;-p
avant d'utiliser une DNSBL, il faut visiter son site, lire son
fonctionnement, ... etc.

reject_rbl_client sbl-xbl.spamhaus.org,



regarde si t'as pas envie d'utiliser zen.spamhaus.org. ça contient
sbl-xbl mais aussi pbl.spamhaus.org, qui detecte beaucoup de "zombies"
(machines possédées).

il y aussi korea.services.net.

reject_rbl_client bl.spamcop.net,
check_policy_service inet:127.0.0.1:60000,
permit



Le dernier permit est inutile, mais c'est une question de gout...


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Publicité
Poster une réponse
Anonyme