voici mon main.cf de postfix, j'ai tent=C3=A9 de mettre une solution tr=C3=
=A8s
restrictive pour =C3=A9viter de recevoir trop de spam, pouvez-vous me donne=
r
votre avis :=20
# R=C3=A8gles RBL + Tri sur le format du mail
smtpd_recipient_restrictions =3D
permit_mynetworks,
check_sender_access hash:/etc/postfix/sender_ok,
reject_non_fqdn_sender,
reject_non_fqdn_recipient,
reject_unknown_sender_domain,
reject_unknown_recipient_domain,
reject_unauth_destination,
reject_unauth_pipelining,
reject_invalid_hostname,
reject_rbl_client relays.ordb.org,
reject_rbl_client sbl-xbl.spamhaus.org,
reject_rbl_client bl.spamcop.net,
check_policy_service inet:127.0.0.1:60000,
permit
merci =C3=A0 vous
--=20
View this message in context: http://www.nabble.com/avis-sur-mon-main.cf-tp=
14432832p14432832.html
Sent from the debian-user-french mailing list archive at Nabble.com.
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Guillaume Coeugnet
> -----Message d'origine----- De : Tekpi [mailto:] Envoyé : jeudi 20 décembre 2007 10:12 À : Objet : avis sur mon main.cf
Bonjour à tous,
voici mon main.cf de postfix, j'ai tenté de mettre une solution très restrictive pour éviter de recevoir trop de spam, pouvez-vous me donner votre avis :
# Règles RBL + Tri sur le format du mail smtpd_recipient_restrictions = permit_mynetworks, check_sender_access hash:/etc/postfix/sender_ok, reject_non_fqdn_sender, reject_non_fqdn_recipient, reject_unknown_sender_domain, reject_unknown_recipient_domain, reject_unauth_destination, reject_unauth_pipelining, reject_invalid_hostname, reject_rbl_client relays.ordb.org, reject_rbl_client sbl-xbl.spamhaus.org, reject_rbl_client bl.spamcop.net, check_policy_service inet:127.0.0.1:60000, permit
- Tu as mis deux fois "localhost.localdomain" dans ton mydestination - Le smtp_sender_restrictions est commenté - J'ai installé postfix il y a 1 petit mois, je suis encore en rodage dessus mais ta conf ne me semble pas mauvaise. - Le spam se filtrera plus au niveau de spamassassin que de postfix. Je dois avoir moins de 10% de spam rejettés par smtpd dont la majeure partie grâce à la restriction du FQDN.
Guillaume.
> -----Message d'origine-----
De : Tekpi [mailto:tekpi@hotmail.com]
Envoyé : jeudi 20 décembre 2007 10:12
À : debian-user-french@lists.debian.org
Objet : avis sur mon main.cf
Bonjour à tous,
voici mon main.cf de postfix, j'ai tenté de mettre une
solution très restrictive pour éviter de recevoir trop de
spam, pouvez-vous me donner votre avis :
# Règles RBL + Tri sur le format du mail
smtpd_recipient_restrictions =
permit_mynetworks,
check_sender_access hash:/etc/postfix/sender_ok,
reject_non_fqdn_sender,
reject_non_fqdn_recipient,
reject_unknown_sender_domain,
reject_unknown_recipient_domain,
reject_unauth_destination,
reject_unauth_pipelining,
reject_invalid_hostname,
reject_rbl_client relays.ordb.org,
reject_rbl_client sbl-xbl.spamhaus.org,
reject_rbl_client bl.spamcop.net,
check_policy_service inet:127.0.0.1:60000,
permit
- Tu as mis deux fois "localhost.localdomain" dans ton mydestination
- Le smtp_sender_restrictions est commenté
- J'ai installé postfix il y a 1 petit mois, je suis encore en rodage dessus
mais ta conf ne me semble pas mauvaise.
- Le spam se filtrera plus au niveau de spamassassin que de postfix. Je dois
avoir moins de 10% de spam rejettés par smtpd dont la majeure partie grâce à
la restriction du FQDN.
> -----Message d'origine----- De : Tekpi [mailto:] Envoyé : jeudi 20 décembre 2007 10:12 À : Objet : avis sur mon main.cf
Bonjour à tous,
voici mon main.cf de postfix, j'ai tenté de mettre une solution très restrictive pour éviter de recevoir trop de spam, pouvez-vous me donner votre avis :
# Règles RBL + Tri sur le format du mail smtpd_recipient_restrictions = permit_mynetworks, check_sender_access hash:/etc/postfix/sender_ok, reject_non_fqdn_sender, reject_non_fqdn_recipient, reject_unknown_sender_domain, reject_unknown_recipient_domain, reject_unauth_destination, reject_unauth_pipelining, reject_invalid_hostname, reject_rbl_client relays.ordb.org, reject_rbl_client sbl-xbl.spamhaus.org, reject_rbl_client bl.spamcop.net, check_policy_service inet:127.0.0.1:60000, permit
- Tu as mis deux fois "localhost.localdomain" dans ton mydestination - Le smtp_sender_restrictions est commenté - J'ai installé postfix il y a 1 petit mois, je suis encore en rodage dessus mais ta conf ne me semble pas mauvaise. - Le spam se filtrera plus au niveau de spamassassin que de postfix. Je dois avoir moins de 10% de spam rejettés par smtpd dont la majeure partie grâce à la restriction du FQDN.
Guillaume.
Tekpi
Correction, la ligne "smtpd_sender_restrictions ="
merci pour vos avis -- View this message in context: http://www.nabble.com/avis-sur-mon-main.cf-tp 14432832p14432938.html Sent from the debian-user-french mailing list archive at Nabble.com.
Correction, la ligne "smtpd_sender_restrictions ="
merci pour vos avis
--
View this message in context: http://www.nabble.com/avis-sur-mon-main.cf-tp 14432832p14432938.html
Sent from the debian-user-french mailing list archive at Nabble.com.
merci pour vos avis -- View this message in context: http://www.nabble.com/avis-sur-mon-main.cf-tp 14432832p14432938.html Sent from the debian-user-french mailing list archive at Nabble.com.
mouss
Tekpi wrote:
Bonjour à tous,
voici mon main.cf de postfix, j'ai tenté de mettre une solution très restrictive pour éviter de recevoir trop de spam, pouvez-vous me donner votre avis :
pour éviter les surprises, il vaut mieux définir myhostname et mydomain explicitement. ça évite les problèmes quand on joue avec le hostname de la machine.
tu peux virer cette ligne. c'est la valeur par défaut. En général, il ne faut pas remettre les valeurs par défaut. comme ça, à la mise à jour, tu auras la nouvelle valeur par défaut (qui sera mieux, sinon elle n'aura pas été choisie dans la mise à jour!).
mail_name = temp
ça sert à rien de cacher que c'est un postfix. ça prend 3 secondes de s'en rendre compte. essaye: # telnet serveur 25 GET / HTTP/1.0
essaye la même chose sur des serveurs différents, et tu verras qu'on voit vite un postfix.
La, ça dépend du site. si c'est perso, je ne vois pas de problème. si c'est professionnel, ça va faire des dégats. Tout d'abord, plusieurs sites ont une mauvaise config DNS. Mais même en décidant qu'ils n'ont qu'à se démerder, il reste le cas des problèmes DNS (telmps de réponse causant un timeout, ...) qui vont faire des erreurs temporaires et donc retarder le mail.
# Rejeter tout mail mal formaté smtpd_helo_required = yes smtpd_helo_restrictions = permit_mynetworks, reject_non_fqdn_hostname
ah. tu répetes smtpd_helo_restrictions. il faut virer la première. tu peux ajouter reject_invalid_hostname (je ne vois pas pourquoi t'accepterais "j?^<f" et pas "popo").
cela dit, tu peux tout mettre dans smtpd_recipient_restrictions, histoire de pouvoir choisir l'ordre d'execution.
#smtpd_sender_restrictions
ça a deja été dit. attention au '#'...
reject_non_fqdn_sender,
ça, tu l'as déjà dans smtpd_recipient_restrictions. pas la peine de le répeter. finalement tu peux virer smtpd_sender_restrictions completement.
reject_unknown_address
c'est quoi reject_unknown_address? ne serait-ce pas reject_unknown_sender_domain plutot?
reject_maps_rbl
et ça?
#notify_classes = resource,software,bounce,policy,protocol,delay #error_notice_recipient = postmaster # Règles RBL + Tri sur le format du mail smtpd_recipient_restrictions > permit_mynetworks,
mets reject_unauth_destination ici. sinon, gare au "relai ouvert"...
check_sender_access hash:/etc/postfix/sender_ok,
il ne faut pas faire confiance à l'adresse de l'expéditeur pour faire du relai. ça peut rester "caché" pendant quelques jours (voire plus), mais ce sera découvert et là, ça fera mal. donc après reject_unauth_destination...
c'est plus haut qu'il faut le mettre. ne jamais mettre un permit ou un ok avant reject_unauth_destination, sauf si on est sûr du coup. en gros, on peut mettre permit_mynetworks (whitelist par IP), permit_sasl_authenticated (whitelist par authentification), mais pas un check_sender_access, qui est facilement falsifié...
reject_unauth_pipelining,
ça sert à rien ici. RCPT TO est une commande "asynchrone". le standard autorise donc de faire du pipelining ici.
reject_invalid_hostname,
comme il coute pas grand chose, mieux vaut le mettre plus haut.
reject_rbl_client relays.ordb.org,
t'es sûr qu'elle existe encore cette liste? ;-p avant d'utiliser une DNSBL, il faut visiter son site, lire son fonctionnement, ... etc.
reject_rbl_client sbl-xbl.spamhaus.org,
regarde si t'as pas envie d'utiliser zen.spamhaus.org. ça contient sbl-xbl mais aussi pbl.spamhaus.org, qui detecte beaucoup de "zombies" (machines possédées).
Le dernier permit est inutile, mais c'est une question de gout...
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Tekpi wrote:
Bonjour à tous,
voici mon main.cf de postfix, j'ai tenté de mettre une solution très
restrictive pour éviter de recevoir trop de spam, pouvez-vous me donner
votre avis :
pour éviter les surprises, il vaut mieux définir myhostname et mydomain
explicitement. ça évite les problèmes quand on joue avec le hostname de
la machine.
tu peux virer cette ligne. c'est la valeur par défaut. En général, il ne
faut pas remettre les valeurs par défaut. comme ça, à la mise à jour, tu
auras la nouvelle valeur par défaut (qui sera mieux, sinon elle n'aura
pas été choisie dans la mise à jour!).
mail_name = temp
ça sert à rien de cacher que c'est un postfix. ça prend 3 secondes de
s'en rendre compte. essaye:
# telnet serveur 25
GET / HTTP/1.0
essaye la même chose sur des serveurs différents, et tu verras qu'on
voit vite un postfix.
La, ça dépend du site. si c'est perso, je ne vois pas de problème. si
c'est professionnel, ça va faire des dégats. Tout d'abord, plusieurs
sites ont une mauvaise config DNS. Mais même en décidant qu'ils n'ont
qu'à se démerder, il reste le cas des problèmes DNS (telmps de réponse
causant un timeout, ...) qui vont faire des erreurs temporaires et donc
retarder le mail.
# Rejeter tout mail mal formaté
smtpd_helo_required = yes
smtpd_helo_restrictions = permit_mynetworks, reject_non_fqdn_hostname
ah. tu répetes smtpd_helo_restrictions. il faut virer la première.
tu peux ajouter
reject_invalid_hostname
(je ne vois pas pourquoi t'accepterais "j?^<f" et pas "popo").
cela dit, tu peux tout mettre dans smtpd_recipient_restrictions,
histoire de pouvoir choisir l'ordre d'execution.
#smtpd_sender_restrictions
ça a deja été dit. attention au '#'...
reject_non_fqdn_sender,
ça, tu l'as déjà dans smtpd_recipient_restrictions. pas la peine de le
répeter. finalement tu peux virer smtpd_sender_restrictions completement.
reject_unknown_address
c'est quoi reject_unknown_address? ne serait-ce pas
reject_unknown_sender_domain
plutot?
reject_maps_rbl
et ça?
#notify_classes = resource,software,bounce,policy,protocol,delay
#error_notice_recipient = postmaster
# Règles RBL + Tri sur le format du mail
smtpd_recipient_restrictions > permit_mynetworks,
mets
reject_unauth_destination
ici. sinon, gare au "relai ouvert"...
check_sender_access hash:/etc/postfix/sender_ok,
il ne faut pas faire confiance à l'adresse de l'expéditeur pour faire du
relai. ça peut rester "caché" pendant quelques jours (voire plus), mais
ce sera découvert et là, ça fera mal. donc après
reject_unauth_destination...
c'est plus haut qu'il faut le mettre. ne jamais mettre un permit ou un
ok avant reject_unauth_destination, sauf si on est sûr du coup. en gros,
on peut mettre permit_mynetworks (whitelist par IP),
permit_sasl_authenticated (whitelist par authentification), mais pas un
check_sender_access, qui est facilement falsifié...
reject_unauth_pipelining,
ça sert à rien ici. RCPT TO est une commande "asynchrone". le standard
autorise donc de faire du pipelining ici.
reject_invalid_hostname,
comme il coute pas grand chose, mieux vaut le mettre plus haut.
reject_rbl_client relays.ordb.org,
t'es sûr qu'elle existe encore cette liste? ;-p
avant d'utiliser une DNSBL, il faut visiter son site, lire son
fonctionnement, ... etc.
reject_rbl_client sbl-xbl.spamhaus.org,
regarde si t'as pas envie d'utiliser zen.spamhaus.org. ça contient
sbl-xbl mais aussi pbl.spamhaus.org, qui detecte beaucoup de "zombies"
(machines possédées).
Le dernier permit est inutile, mais c'est une question de gout...
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
voici mon main.cf de postfix, j'ai tenté de mettre une solution très restrictive pour éviter de recevoir trop de spam, pouvez-vous me donner votre avis :
pour éviter les surprises, il vaut mieux définir myhostname et mydomain explicitement. ça évite les problèmes quand on joue avec le hostname de la machine.
tu peux virer cette ligne. c'est la valeur par défaut. En général, il ne faut pas remettre les valeurs par défaut. comme ça, à la mise à jour, tu auras la nouvelle valeur par défaut (qui sera mieux, sinon elle n'aura pas été choisie dans la mise à jour!).
mail_name = temp
ça sert à rien de cacher que c'est un postfix. ça prend 3 secondes de s'en rendre compte. essaye: # telnet serveur 25 GET / HTTP/1.0
essaye la même chose sur des serveurs différents, et tu verras qu'on voit vite un postfix.
La, ça dépend du site. si c'est perso, je ne vois pas de problème. si c'est professionnel, ça va faire des dégats. Tout d'abord, plusieurs sites ont une mauvaise config DNS. Mais même en décidant qu'ils n'ont qu'à se démerder, il reste le cas des problèmes DNS (telmps de réponse causant un timeout, ...) qui vont faire des erreurs temporaires et donc retarder le mail.
# Rejeter tout mail mal formaté smtpd_helo_required = yes smtpd_helo_restrictions = permit_mynetworks, reject_non_fqdn_hostname
ah. tu répetes smtpd_helo_restrictions. il faut virer la première. tu peux ajouter reject_invalid_hostname (je ne vois pas pourquoi t'accepterais "j?^<f" et pas "popo").
cela dit, tu peux tout mettre dans smtpd_recipient_restrictions, histoire de pouvoir choisir l'ordre d'execution.
#smtpd_sender_restrictions
ça a deja été dit. attention au '#'...
reject_non_fqdn_sender,
ça, tu l'as déjà dans smtpd_recipient_restrictions. pas la peine de le répeter. finalement tu peux virer smtpd_sender_restrictions completement.
reject_unknown_address
c'est quoi reject_unknown_address? ne serait-ce pas reject_unknown_sender_domain plutot?
reject_maps_rbl
et ça?
#notify_classes = resource,software,bounce,policy,protocol,delay #error_notice_recipient = postmaster # Règles RBL + Tri sur le format du mail smtpd_recipient_restrictions > permit_mynetworks,
mets reject_unauth_destination ici. sinon, gare au "relai ouvert"...
check_sender_access hash:/etc/postfix/sender_ok,
il ne faut pas faire confiance à l'adresse de l'expéditeur pour faire du relai. ça peut rester "caché" pendant quelques jours (voire plus), mais ce sera découvert et là, ça fera mal. donc après reject_unauth_destination...
c'est plus haut qu'il faut le mettre. ne jamais mettre un permit ou un ok avant reject_unauth_destination, sauf si on est sûr du coup. en gros, on peut mettre permit_mynetworks (whitelist par IP), permit_sasl_authenticated (whitelist par authentification), mais pas un check_sender_access, qui est facilement falsifié...
reject_unauth_pipelining,
ça sert à rien ici. RCPT TO est une commande "asynchrone". le standard autorise donc de faire du pipelining ici.
reject_invalid_hostname,
comme il coute pas grand chose, mieux vaut le mettre plus haut.
reject_rbl_client relays.ordb.org,
t'es sûr qu'elle existe encore cette liste? ;-p avant d'utiliser une DNSBL, il faut visiter son site, lire son fonctionnement, ... etc.
reject_rbl_client sbl-xbl.spamhaus.org,
regarde si t'as pas envie d'utiliser zen.spamhaus.org. ça contient sbl-xbl mais aussi pbl.spamhaus.org, qui detecte beaucoup de "zombies" (machines possédées).
Le dernier permit est inutile, mais c'est une question de gout...
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact