[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[postfix-jp:03880] Greylisting - check_policy_service

On Mon, 26 Jan 2004 14:51:54 +0900
Tamachan <tamachan@xxxxxxxxxxxxxx> wrote:

| で言及されていますが,(テストを除いて)実際に現場で使われ
| ている方は寡聞にして存じません。

すでに4ヶ月以上実環境(?)で使用しています。ユーザ数は50くらいですが。

Experimental releaseのexamples/smtpd-policyにsmtpd-policy.plがあります。
syslogの表示などを少しいじって使用しています。

例えば115行目の
        return "defer_if_permit Service is unavailable";
を
        return "450 Service is unavailable";

にしています。DNSBLを併用している場合、こうすることでDNSBLに対するクエリ
を激減させることができます。また、ホワイトリストの作成も非常に重要です。
ホワイトリストなしでDNSBLを使用するのは資源の無駄ですし、DDoSにさらされ
ているDNSBLサイトにさらに負荷をかけることになりますから。ホワイトリスト
なしでDNSBLを使用するのはもはや犯罪に近いかと思います。

greylist_delayはポリシーや相手の出方を見ながら決めるといいでしょう。ちな
みに手元では9割以上のopen proxyからの接続は最長でも15分ほどです。60分が
長すぎるなら、30-45分でもいいでしょう。環境(というかユーザ)依存ですね。

        return "dunno";

にすれば、事前にホワイトリストを作成するのに役に立つかもしれません。

main.cfには次のような感じで。

|     db_dir = /path/to/database/dir
|     smtpd_recipient_restrictions =
|      ...
|      reject_unauth_destination,
|      check_client_access hash:$db_dir/local.whitelist.by.client.hash,
|      chech_sender_access hash:$db_dir/local.whitelist.by.recipient.hash,
|      check_client_access hash:$db_dir/local.blacklist.hash,
|      check_policy_service unix:private/policy,
|      reject_rbl_client some.dnsbl.example.org,
|      ...
|      warn_if_reject,
|      check_client_access pcre:$db_dir/warn.pcre,
|      permit

local.whitelist.by.client.hashには、
postmasster@example.org	OK
abuse@example.org	OK
idiot@example.org	OK
ceo@example.org		OK

warn.pcreには
/.*/    450 client is not whitelisted.

などと指定しています。

smtpd_restriction_classesなどで複数のpolicyを使い分ける(クライアントによっ
て厳しい/緩いGreylisting制限とかいろいろ)ことも可能です。

SMTPD_POLICY_READMEにはプロトコルの解説があります。

こうした制限をくぐり抜けてくるのは、壊れたExchange/open relay/ISPのMTAを
使用したspam(つまりMTA経由)ぐらいですので、個別に対応しましょう。あ、
freebitやocn.ne.jpに巣くうspammerとかも壊れているので、こちらも特別な対
応をしてあげましょう。

この機能は次のリリースに含まれるようです。もう、1.xを使い続ける理由はな
いと思います。

--
Tomoyuki Sakurai - Tomi -
mailto:ml-postfix-jp@xxxxxxxxxxxxxxx
local dnsbl files updated daily at
rsync://trombik.mine.nu/spf/
Follow-Ups
[postfix-jp:03881] Re: Greylisting - check_policy_service, Tomoyuki Sakurai
[postfix-jp:03884] Re: Greylisting - check_policy_service, Tomoyuki Sakurai
References
[postfix-jp:03878] おなじみ さん方式の実装, Yasuhiro Enomoto
[postfix-jp:03879] Re: おなじ みさん方式の実装, Tamachan
[検索ページ] [Postfix-JP ML Home]