RE: avis sur mon main.cf

[Guillaume Coeugnet]

 

 -Message d'origine-
 De : Tekpi [mailto:[EMAIL PROTECTED] 
 Envoyé : jeudi 20 décembre 2007 10:12
 À : debian-user-french@lists.debian.org
 Objet : avis sur mon main.cf
 
 
 Bonjour à tous,
 
 voici mon main.cf de postfix, j'ai tenté de mettre une 
 solution très restrictive pour éviter de recevoir trop de 
 spam, pouvez-vous me donner votre avis : 
 
 mydestination = $myhostname, localhost.localdomain, 
 localhost.localdomain, localhost relayhost = 
 smtp.demonprovider.com mynetworks = 127.0.0.0/8 
 192.168.0.0/24 recipient_delimiter = + inet_interfaces = 
 $myhostname, localhost transport_maps = 
 hash:/etc/postfix/transport virtual_alias_maps = 
 hash:/etc/postfix/virtual smtp_banner = $myhostname ESMTP 
 $mail_name mail_name = temp maximal_queue_lifetime = 4d 
 smtp_helo_timeout = 60s smtpd_recipients_limit = 16 
 smtpd_soft_error_limit = 3 smtpd_hard_error_limit = 12 
 smtpd_helo_restrictions = permit_mynetworks 
 smtpd_delay_reject = yes disable_vrfy_command = yes 
 content_filter = smtp-amavis:[127.0.0.1]:10024 
 mailbox_command = procmail -a $EXTENSION
 strict_rfc821_envelopes = yes
 mailbox_size_limit = 0
 virtual_mailbox_limit = 52428800
 bounce_queue_lifetime = 2h
 smtpd_client_restrictions = permit_mynetworks, 
 reject_unknown_client smtpd_data_restrictions = 
 reject_unauth_pipelining
 
 # Rejeter tout mail mal formaté
 smtpd_helo_required = yes
 smtpd_helo_restrictions = permit_mynetworks, reject_non_fqdn_hostname
 
 #smtpd_sender_restrictions =
 reject_non_fqdn_sender,
 reject_unknown_address
 reject_maps_rbl
 
 #notify_classes = resource,software,bounce,policy,protocol,delay
 #error_notice_recipient = postmaster
 
 # Règles RBL + Tri sur le format du mail 
 smtpd_recipient_restrictions =
permit_mynetworks,
check_sender_access hash:/etc/postfix/sender_ok,
reject_non_fqdn_sender,
reject_non_fqdn_recipient,
reject_unknown_sender_domain,
reject_unknown_recipient_domain,
reject_unauth_destination,
reject_unauth_pipelining,
reject_invalid_hostname,
reject_rbl_client relays.ordb.org,
reject_rbl_client sbl-xbl.spamhaus.org,
reject_rbl_client bl.spamcop.net,
check_policy_service inet:127.0.0.1:6,
permit

- Tu as mis deux fois localhost.localdomain dans ton mydestination
- Le smtp_sender_restrictions est commenté
- J'ai installé postfix il y a 1 petit mois, je suis encore en rodage dessus
mais ta conf ne me semble pas mauvaise.
- Le spam se filtrera plus au niveau de spamassassin que de postfix. Je dois
avoir moins de 10% de spam rejettés par smtpd dont la majeure partie grâce à
la restriction du FQDN.

Guillaume.

Re: avis sur mon main.cf

[Tekpi]

Correction, la ligne smtpd_sender_restrictions =

est décommenté (dsl pr l'erreur), sinon je vous raconte pas les erreurs de
démarrage de postfix lol

merci pour vos avis
-- 
View this message in context: 
http://www.nabble.com/avis-sur-mon-main.cf-tp14432832p14432938.html
Sent from the debian-user-french mailing list archive at Nabble.com.

Re: avis sur mon main.cf

[mouss]

Tekpi wrote:

Bonjour à tous,

voici mon main.cf de postfix, j'ai tenté de mettre une solution très
restrictive pour éviter de recevoir trop de spam, pouvez-vous me donner
votre avis : 


mydestination = $myhostname, localhost.localdomain, localhost.localdomain,
localhost


pour éviter les surprises, il vaut mieux définir myhostname et mydomain 
explicitement. ça évite les problèmes quand on joue avec le hostname de 
la machine.



relayhost = smtp.demonprovider.com


relayhost = [smtp.demonprovider.com]

avec des crochets pour éviter un requête MX.


mynetworks = 127.0.0.0/8 192.168.0.0/24
recipient_delimiter = +
inet_interfaces = $myhostname, localhost


inet_interfaces = all
est conseillé. et comme c'est la valeur par défaut, autant virer toute 
la ligne.


jouer avec inet_interfaces cause des ennuis.


transport_maps = hash:/etc/postfix/transport
virtual_alias_maps = hash:/etc/postfix/virtual
smtp_banner = $myhostname ESMTP $mail_name


tu peux virer cette ligne. c'est la valeur par défaut. En général, il ne 
faut pas remettre les valeurs par défaut. comme ça, à la mise à jour, tu 
auras la nouvelle valeur par défaut (qui sera mieux, sinon elle n'aura 
pas été choisie dans la mise à jour!).



mail_name = temp


ça sert à rien de cacher que c'est un postfix. ça prend 3 secondes de 
s'en rendre compte. essaye:

# telnet serveur 25
GET / HTTP/1.0

essaye la même chose sur des serveurs différents, et tu verras qu'on 
voit vite un postfix.


Mieux vaut laisser la valeur par défaut.


maximal_queue_lifetime = 4d
smtp_helo_timeout = 60s
smtpd_recipients_limit = 16
smtpd_soft_error_limit = 3
smtpd_hard_error_limit = 12


pas de commentaire sur ces valeurs. si tu n'as pas de raison vraiment 
spéciale, il ne faut pas changer les valeurs.



smtpd_helo_restrictions = permit_mynetworks


ça ne sert à rien. par défaut, c'est permit. donc ajouter un 
permit_mynetworks ne change rien au résultat.

tu peux virer la ligne.


smtpd_delay_reject = yes
disable_vrfy_command = yes
content_filter = smtp-amavis:[127.0.0.1]:10024
mailbox_command = procmail -a $EXTENSION
strict_rfc821_envelopes = yes
mailbox_size_limit = 0
virtual_mailbox_limit = 52428800
bounce_queue_lifetime = 2h
smtpd_client_restrictions = permit_mynetworks, reject_unknown_client


La, ça dépend du site. si c'est perso, je ne vois pas de problème. si 
c'est professionnel, ça va faire des dégats. Tout d'abord, plusieurs 
sites ont une mauvaise config DNS. Mais même en décidant qu'ils n'ont 
qu'à se démerder, il reste le cas des problèmes DNS (telmps de réponse 
causant un timeout, ...) qui vont faire des erreurs temporaires et donc 
retarder le mail.




smtpd_data_restrictions = reject_unauth_pipelining

# Rejeter tout mail mal formaté
smtpd_helo_required = yes
smtpd_helo_restrictions = permit_mynetworks, reject_non_fqdn_hostname


ah. tu répetes smtpd_helo_restrictions. il faut virer la première.
tu peux ajouter
reject_invalid_hostname
(je ne vois pas pourquoi t'accepterais j?^f et pas popo).

cela dit, tu peux tout mettre dans smtpd_recipient_restrictions, 
histoire de pouvoir choisir l'ordre d'execution.




#smtpd_sender_restrictions =


ça a deja été dit. attention au '#'...


reject_non_fqdn_sender,


ça, tu l'as déjà dans smtpd_recipient_restrictions. pas la peine de le 
répeter. finalement tu peux virer smtpd_sender_restrictions completement.



reject_unknown_address


c'est quoi reject_unknown_address? ne serait-ce pas
reject_unknown_sender_domain
plutot?



reject_maps_rbl


et ça?





#notify_classes = resource,software,bounce,policy,protocol,delay
#error_notice_recipient = postmaster
# Règles RBL + Tri sur le format du mail
smtpd_recipient_restrictions =
   permit_mynetworks,


mets
reject_unauth_destination
ici. sinon, gare au relai ouvert...


   check_sender_access hash:/etc/postfix/sender_ok,


il ne faut pas faire confiance à l'adresse de l'expéditeur pour faire du 
relai. ça peut rester caché pendant quelques jours (voire plus), mais 
ce sera découvert et là, ça fera mal. donc après 
reject_unauth_destination...



   reject_non_fqdn_sender,
   reject_non_fqdn_recipient,


ici tu peux ajouter
reject_invalid_hostname
reject_non_fqdn_hostname

tu peux aussi ajoter
reject_unlisted_sender
reject_unlisted_recipient

histoire d'éviter des appels DNS quand les adresses sont fausses.


   reject_unknown_sender_domain,
   reject_unknown_recipient_domain,
   reject_unauth_destination,


c'est plus haut qu'il faut le mettre. ne jamais mettre un permit ou un 
ok avant reject_unauth_destination, sauf si on est sûr du coup. en gros, 
on peut mettre permit_mynetworks (whitelist par IP), 
permit_sasl_authenticated (whitelist par authentification), mais pas un 
check_sender_access, qui est facilement falsifié...



   reject_unauth_pipelining,


ça sert à rien ici. RCPT TO est une commande asynchrone. le standard 
autorise donc de faire du