postfix 发信邮件服务器设置
以下设置针对需要大量外发邮件的服务器,如果你的邮件服务器是专门用来发垃圾邮件的,那么下面这些设置恐怕也没有太多作用,下面的这些设置也仅仅是让我们发出的邮件更符合发送规则,当然了,如果滥发,不管你设置怎么样的策略,一旦超过了邮件运营商的限制,封你还是没商量的。
安装djbdns
djbdns 是一個由Qmail 的作者所设计的一个轻量级DNS server,我们使用它提供的dnscache服务作为本地邮件发送的DNS查询缓存,用于加快邮件的转发速度。
ucspi-tcp软件包由一组工具组成。它们用来简单的建立客户机-服务器tcp后台程序。TcpServer是一个比inetd安全性更好的选择。它内建有基于规则的连接控制,能完善地在达到预定义的最大系统负载时将连接推迟
shell>wget http://www.qmailtoaster.org/download/develop/daemontools-toaster-0.76-1.3.3.src.rpm
shell>wget http://www.qmailtoaster.org/download/develop/djbdns-1.05-1.0.5.src.rpm
Shell >yum -y install rpm-build
shell>rpm -vih daemontools-toaster-0.76-1.3.3.src.rpm
shell>rpm -ivh ucspi-tcp-toaster-0.88-1.3.5.src.rpm
shell>rpm -ivh djbdns-1.05-1.0.5.src.rpm
shell>cd /usr/src/redhat/SPECS
shell>rpmbuild --bb daemontools-toaster.spec
shell>rpmbuild --bb ucspi-tcp-toaster.spec
shell>rpmbuild --bb djbdns.spec
shell>cd /usr/src/redhat/RPMS/i386
shell>rpm --ivh daemontools-toaster-0.76-1.3.3.i386.rpm ucspi-tcp-toaster-0.88-1.3.5.i386.rpm
shell>rpm --ivh djbdns-1.05-1.0.5.i386.rpm djbdns-localcache-1.05-1.0.5.i386.rpm
shell>rm {/var/djbdns/,/}service/{axfrdns,tinydns} // 我们只需要dnscache 服务
shell>echo -n 10000000 >/var/djbdns/dnscache/env/CACHESIZE // 修改DNS内存cache大小10M
shell>echo -n 30000000 >/var/djbdns/dnscache/env/DATALIMIT
shell>echo nameserver 127.0.0.1 >/etc/resolv.conf
shell>/etc/init.d/djbdns start
安装domainkey
雅虎的这项技术被称之为“DNS端的电子签名(DomainKeys)”,专门对付各种各样经过改头换面的垃圾邮件。垃圾邮件经常通过改动电子邮件的发送着对用户进行欺骗,用户往往会误以为这不是垃圾邮
件,因而打开查看的可能性加大。雅虎的“DomainKeys”允许接受电子邮件的系统对邮件进行检查,以确定邮件发送者的身份是不是假的。“DomainKeys”通过使用加密技术完成电子邮件发送者身份的
验证。外发的邮件通过私人密码进行数字签名,而接受电子邮件的系统则使用公共密码对签名进行核实。
shell>yum -y install sendmail-devel // dk-milter编译需要
shell>yum -y install csh
shell>tar -zxvf dk-milter-1.0.1.tar.gz
shell>cd dk-milter-1.0.1
shell>sh Build -c
shell>sh Buld install
shell>cd dk-filter
shell>chmod +x gentxt.csh
shell>./gentxt.sh default hiadmin.com // 保存输出的文字
shell>cp default.private /etc/postfix/hiadmin.com.key.pem // 拷贝私钥到/etc/postfix
shell>chmod 600 /etc/postfix/hiadmin.com.key.pem
shell>/usr/bin/dk-filter -A -l -p inet:8891@localhost -d hiadmin.com \ // 启动dk-filter签名服务
-s /etc/postfix/hiadmin.com.key.pem -S default
dk-filter 命令说明:
-A # dk-filter 死掉時自動重啟
-b modes # s (singer) / v (verify) 預設為 sv
-c canon # 預設是 simple (表頭不改變),
# 另外為 relaxed (表頭可能修正,去除空白,不換行等等)
-C config # 設定檔,詳見下述
-d domlist # 要 sign 的 domain 列表,以逗號區隔
-D # 一併 sign -d 之下 domain 的 sub-domain
-f # 前台執行
-h # 會在 Mail Header 中加入 X-DomainKeys 資訊
-H # DomainKey-Signature 中說明 sign 的 header 資訊
-i ilist # 只做 sign, 不做 verify,預設為 127.0.0.1
-I elist # 透過此主機轉信之來源做 sign,不做 verify
-l # log 必要訊息到 maillog
-m mtalist # MTA 名字,也就是 DaemonPortOptions 中的 Name,預設是全部
-M macrolist # MTA macros which enable signing
-o hdrlist # 哪些 Header 不 sign,Ex: -o to,subject,date , From 一定要 sign
-P pidfile # pid file 路徑
-s keyfile # private key
-S selector # selector,會以 selector._domainkey.Domain 進行 type=TXT 查詢
-u userid # 以什麼身份執行
-V # 版本資訊
将以下公匙记录到DNS Server 上
例:
----- DomainKey default for hiadmin.com
分别建立记录 :
_domainkey.hiadmin.com
设置一条txt记录 :
设置 SPF
Sender Policy Framework。SPF可以防止别人伪造你来发邮件,是一个反伪造性邮件的解决方案。当你定义了你的domain name的SPF记录之后,接收邮件方会根据你的SPF记录来确定连接过来的IP地址是
否被包含在SPF记录里面,如果在,则认为是一封正确的邮件,否则则认为是一封伪造的邮件。
例:
61.152.246.24-25 和 MX 记录中设置的主机为信任邮件发送服务器,其他全部不信任
修改 /etc/postfix/main.cf
增加
non_smtpd_milters = inet:localhost:8891
测试
发一封信到google 检查邮件头是否包含了 DomainKey-Signature
如下所示
DomainKey-Status: good (test mode)
Authentication-Results: mx.google.com; spf=pass (google.com: domain of public@hiadmin.com designates 61.xxx.xxx.xxx as permitted sender) smtp.mail=public@hiadmin.com;
domainkeys=pass (test mode) header.From=public@hiadmin.com
Received: from pc00497 (unknown [211.xxx.xxx.xxx])
by hiadmin.com (Postfix) with ESMTPA id 980912580D1
for <martian2008@gmail.com>; Mon, 27 Oct 2008 17:46:09 +0800 (CST)
DomainKey-Signature: a=rsa-sha1; s=default; d=hiadmin.com; c=simple; q=dns;
b=Q/1un1hpfsZP7zs+0rPsVzb3DFtpIaaGkPL2aSEjmQL7cx9Fhn8EtYLz1J8p7xKLt
lItLJN609cDDER5kjCJKg==
设置milter-limit 控制postfix 发送频率
milter-limit 是Sendmail 的一个filter,用于限制用户发邮件的数量,以防止邮件服务器
被非法用于发送垃圾邮件,它可以实现对指定的客户端IP、收件人、发件人进行限制。该
filter可以不做任何修改即可用于Postfix中
到www.snertsoft.com 下载 (需要注册)
http://www.snertsoft.com/download/milter-limit-0.13.tar.gz
http://www.snertsoft.com/download/libsnert-current.tar.gz
shell> tar -zxvf libsnert-current.tar.gz
shell> tar -zxvf milter-limit-0.13.tar.gz
shell>cd com/snert/src/lib
shell> ./configure --with-db=/usr # 检查是否有Berkeley DB 支持
shell> make build
shell> cd ../milter-limit
shell> ./configure --enable-run-user=postfix --enable-run-group=postfix
shell> make build
shell> make install
修改 /etc/postfix/main.cf
过滤规则:
milter-limit 的规则文件写在/etc/mail/access 中,然后用makemap 来生成
makemap hash /etc/mail/access.db < /etc/mail/acces
# 请注意access.db权限不能为可执行,并且可以让postfix 用户能够读取
/etc/mail/access 文件的规则包括
milter-limit-From: # 发件人地址
milter-limit-To: # 收件人地址
milter-limit-Auth: # 通过SMTP认证的发件人
支持以下匹配规则
[network/cidr]limit 无类域间路由
!pattern!limit 简单文本匹配
/regex/limit POSIX正则表达式
limit:时间单位可以是秒(s)、分钟(m)、小时(h)、天(d)、星期(w)
格式: messages ‘/’ time [unit]
过滤规则例子:
# 80.94开头的网段:从地址80.94.96.0/20 (80.94.96.0- 80.94.111.255) 不受限制,其他地址限制在 3天内最多发送500封邮件
# 发往163.com域限制在1小时发送100封邮件
策略:
启动参数: policy=reject
tag 给邮件标题打标签 启动参数:subject-tag=[SPAM]
quarantine 将邮件送入隔离队列(不发送,需要通过命令激活).
later 不接收邮件,提示发送端发送延迟消息,邮件仍旧在发送端的队列中,稍候重试
reject 拒绝邮件(默认值)
discard 直接丢弃
启动命令
如果需要调试使用 verbose=all 在/var/log/maillog 中查看日志
其他参数用 -help 参数查看
postfix 基本参数设置
smtp_skip_5xx_greeting = yes
default_destination_concurrency_limit = 2 #同一IP并发连接
initial_destination_concurrency = 2
smtp_helo_name = mail.hiadmin.com # 本机对外真实域名
smtpd_milters = inet:localhost:8891,unix:/var/run/milter/milter-limit.socket
#使用sendmail 的milter-limit 插件来实现对指定的客户端IP、收件人、发件人进行限制
近期评论