Тази статия описва един от многото начини, по които можете да интегрирате пощенския сървър Postfix със скенер за антивирусна и антиспам проверка. Същата конфигурация работи на машината, която обработва пощенския трафик на "Линукс за българи". Статията е ограничена до реализацията на базата на дистрибуцията Debian GNU/Linux и е мотивирана от засиления интерес към темата и множеството въпроси, които получавам по ICQ или на лична кореспонденция.

Статията няма за цел да обясни детайлно как е най-добре да конфигурирате едно или друго. Само дава информация какво трябва да направите, за да имате тези неща работещи на вашата система. Останалото е въпрос на личен избор, преценка, познания и възможности. Добре дошли са всякакви идеи и трикове за допълнително увеличаване на ефективността при борбата срещу нежеланата поща.

Необходими пакети

apt-get install postfix amavisd-new clamsmtp spamassassin razor spambayes

Ако искате антивирусният скенер да анализира архиви, компресирани в различни формати, достатъчно е само да инсталирате съответния пакет. Поддръжката на някои компресиращи формати се намира в секцията non-free на Debian.

Postfix

На първо място имаме Postfix, който посреща входящата поща на стандартния за това порт - 25. Както знаете, този пощенски сървър е "разбит" на множество съподчинени демони, които се грижат за различни неща и могат да бъдат конфигурирани индивидуално, което го прави изключително мощен и удобен за различни цели. В конфигурацията на Postfix имаме указание да насочва входящата поща към външен филтър за съдържание, който "слуша" в нашия случай на порт 10024.

content_filter=smtp-amavis:[127.0.0.1]:10024

# Демонът lmtp насочва трафика към amavis
 smtp-amavis unix        -       -       n       -       2       lmtp
 -o lmtp_data_done_timeout=1200
 -o disable_dns_lookups=yes
 -o lmtp_send_xforward_command=yes
 
 # Демонът smtpd приема обратно писмата от clamsmtp
 127.0.0.1:10026 inet  n -       n       -       16      smtpd
 -o content_filter=
 -o receive_override_options=no_unknown_recipient_checks,no_header_body_checks
 -o smtpd_helo_restrictions=
 -o smtpd_client_restrictions=
 -o smtpd_sender_restrictions=
 -o smtpd_recipient_restrictions=permit_mynetworks,reject
 -o mynetworks_style=host
 -o smtpd_authorized_xforward_hosts=127.0.0.0/8

Amavisd-new

Както личи по-горе, трафикът се насочва към Amavisd-new, който има грижата да "посрещне" писмата, да ги провери чрез Spamassassin и ако преминат проверката, да ги насочи към clamsmtp.

Конфигурационният файл на Amavis е голям, но ние няма да променяме много неща по него. В общи лини, няколко дреболии. Останалото приложенито си го прави само с настройките по подразбиране. Ето редовете, които се е наложило да пипнем файла /etc/amavis/amavisd.conf:

$mydomain = 'linux-bg.org';
 $myhostname = 'kazan.linux-bg.org';

@bypass_virus_checks_acl = qw( . );
 # @bypass_spam_checks_acl  = qw( . );

$forward_method = 'smtp:127.0.0.1:10025';
 $notify_method = $forward_method;

Както може би се досещате, оставяме на Amavis само да се погрижи за спама, като "извика" на помощ spamassassin. Вирусите ги оставяме на clamsmtp, който предварително е настроен да "слуша" на порт 10025.

ClamAV

Единственият конфигурационен файл, който трябва да променим, в нашия случай е /etc/clamsmtpd.conf. Две неща трябва да посочим изрично - на кой порт "слуша" самият демон и към кой порт да насочва писмата, след като са преминали през проверката. Досещате се, че той трябва да ги върне обратно на Postfix, който ги очаква на порт 10026.

OutAddress: 10026
 Listen: 127.0.0.1:10025

Така, след като писмата са направили една голяма "разходка", ако са останали живи след всички видове проверки, се връщат отново на Postfix и продължават по пътя си до крайната пощенска кутия на получателя. В общи линии концепцията може да бъде представена по следния начин:

Spamassassin

Както знаете, spamassassin подлежи на множество различни настройки, които могат да бъдат предмет на отделна статия. Според находчивостта на тези настройки се определя и доколко ефективно ще си върши работата. Ето как изглежда неговата конфигурация при нас:

rewrite_header Subject *****SPAM*****
 report_safe 1
 required_score  5.0
 use_bayes 1
 bayes_auto_learn 1
 use_razor2 1
 razor_timeout 10
 skip_rbl_checks 0

Още рестрикции

Ако искате да намалите натоварването на пощенската си система, като отблъснете по-големия процент от вредния трафик още "на вратата", т.е. преди Postfix да го пропусне навътре към Amavis, можете да ползвате рестрикциите по-долу. Освен познатите на всички RBL и RHSBL проверки тук има и строги изисквания към другите пощенски сървъри, които ще се опитват да ни изпращат писма, за съобразяване с различни RFC препоръки.

strict_8bitmime = no
 strict_8bitmime_body = no
 strict_mime_encoding_domain = yes
 strict_7bit_header = no
 
 smtpd_etrn_restriction = reject
 allow_untrusted_routing = no
 smtpd_soft_error_limit = 10
 smtpd_hard_error_limit = 20
 smtpd_error_sleep_time = 1s
 smtpd_delay_reject = yes
 disable_dns_lookups = no
 smtpd_helo_required = yes
 strict_rfc821_envelopes = yes
 disable_vrfy_command = yes
 smtp_always_send_ehlo = yes
 
 smtpd_sender_restrictions =
 permit_sasl_authenticated,
 permit_mynetworks,
 reject_unknown_sender_domain,
 reject_non_fqdn_sender,
 reject_rhsbl_sender dsn.rfc-ignorant.org,
 permit
 
 smtpd_recipient_restrictions =
 permit_mynetworks,
 permit_sasl_authenticated,
 permit_tls_clientcerts,
 reject_non_fqdn_recipient,
 reject_unauth_destination,
 reject_invalid_hostname,
 reject_unauth_pipelining,
 reject_non_fqdn_sender,
 reject_unknown_sender_domain,
 reject_non_fqdn_recipient,
 reject_unknown_hostname,
 reject_unknown_recipient_domain,
 reject_rbl_client bl.spamcop.net,
 reject_rbl_client relays.ordb.org,
 reject_rbl_client sbl-xbl.spamhaus.org,
 reject_rbl_client list.dsbl.org,
 reject_rbl_client dnsbl.njabl.org,
 reject_rbl_client dnsbl.ahbl.org,
 reject_rbl_client dnsbl.sorbs.net,
 reject_rhsbl_client blackhole.securitysage.com,
 reject_rhsbl_sender blackhole.securitysage.com,
 reject_rhsbl_client rhsbl.ahbl.org,
 reject_rhsbl_sender rhsbl.ahbl.org,
 reject_rhsbl_client rhsbl.sorbs.net,
 reject_rhsbl_sender rhsbl.sorbs.net,
 reject_rhsbl_client block.rhs.mailpolice.com,
 reject_rhsbl_sender block.rhs.mailpolice.com,
 reject_rhsbl_client dynamic.rhs.mailpolice.com,
 reject_rhsbl_sender dynamic.rhs.mailpolice.com,
 reject_rhsbl_client bogusmx.rfc-ignorant.org,
 reject_rhsbl_sender bogusmx.rfc-ignorant.org,
 reject_rhsbl_client dsn.rfc-ignorant.org,
 reject_rhsbl_sender dsn.rfc-ignorant.org,
 permit
 
 smtpd_helo_restrictions =
 reject_invalid_hostname,
 permit_mynetworks,
 permit

Тествайте и споделяайте опита си. Не всичко, посочено в тази статия, може да ви даде оптимално решение, но поне е доказано, че работи. Някои настройки може дори да се окаже, че не са удобни за вашите нужди, но с правилно разбиране за нещата ще намерите оптималния вариант. Тук можете да следите статистиката на пощенския трафик, който преминава през сървъра на "Линукс за българи".

Други статии по темата: