Re: postfix amavisd-new postfix-gld

["Andrew V.Statsenko" <alter@incap.ru>]

Grigory Fateyev wrote:
> Hello Andrew V.Statsenko!
> On Mon, 06 Jun 2005 15:37:57 +0400 you wrote:
>
>
> > Успешно использовал какое-то время postgrey. Может пару RBL поставить
> > на  входе для разгрузки?
>
>
> А какие сейчас предпочтительнее?

Было бы здорого, если бы вы немного рассказали о объеме трафика 
почтового сервера, только "русская" там почта или международная, /etc.

Хм.. совсем непростой для меня вопрос - насмотря на оверхед, я был 
вынужден отказаться от использования RBL, т.к. фирма, где я работаю 
начала продавать услугу серверной фильтрации спама и жесткая подрезка на 
входе стала слишком радикальной мерой.

Прежде, чем подключать RBL рекомендую внимательно прочитать правила 
листинга/делистинга соответствующего листа. Это важно.

На одном из серверов (но там почта международная) у меня стоит:

reject_rbl_client 	relays.ordb.org,
#                       reject_rbl_client sbl.spamhaus.org,
                        reject_rbl_client xbl.spamhaus.org

Можно, думаю туда дописать bl.spamcop.net, ну а также постотреть на dul.ru

От sbl.spamhaus.org пока временно отказался несмотря на прелести ROKSO, 
т.к. политика у них достаточно жесткая и они могут отрезать подсеть на 
/24, в которую входит DNS сервер обслуживающий домен, который скажем 
рекламируется через спам. В этом плане, IMHO, лучше работать с RBL 
блокирующие только источник спама.

Также, думаю, что можно подрезать:

smtpd_client_restrictions = check_client_access 
regexp:/etc/postfix/client_check ....

cat /etc/postfix/client_check

# DSL Spam

/^dsl.*\..*\..*/i       553 AUTO_DSL spam
/[ax]dsl.*\..*\..*/i    553 AUTO_XDSL spam
/client.*\..*\..*/i     553 AUTO_CLIENT spam
/cable.*\..*\..*/i      553 AUTO_CABLE spam
/pool.*\..*\..*/i       553 AUTO_POOL spam
/dial.*\..*\..*/i       553 AUTO_DIAL spam
/ppp.*\..*\..*/i        553 AUTO_PPP spam
/dslam.*\..*\..*/i      553 AUTO_DSLAM spam
/node.*\..*\..*/i       553 AUTO_NODE spam

Эта мера запретит прием с xDSL и прочей (обычно трояненной) шпаны на 
широких каналах. Минусы - иногда бывается, что обратный реверс не у всех 
"нормально" с этой точки зрения настроен.

Рекомендую вот еще чего:
smtpd_helo_restrictions = check_helo_access hash:/etc/postfix/helo_check

cat /etc/postfix/helo_check
# Reject anybody that HELO's as being in our own domain(s)
# (Note that if you followed the order suggested in the main.cf
# examples, above, that machines in mynetworks will be okay.)
#<MY DOMAIN>    REJECT You are not in trala.la

# Somebody HELO'ing with our IP address?
(ваш IP тут)   REJECT You are not me

Это подрежет stupid spam proxy. Т.е. тех клиентов, которые говоря HELO 
увазывают ваш IP адрес.

Да много еще чго можно придумать, поэтому и прошу точнее задачу 
поставить :-).