Postfix как почтовый шлюз

Автор: Admin

Дата:2009-09-08

Postfix как шлюз

Postfix - агент передачи сообщений (MTA), он пересылает сообщения от пользователей по протоколу SMTP.

Postfix будем устанавливать на CentOs5.

Уже установленная операционная система Linux должна отвечать определенным требованиям: иметь полностью определенное доменное имя (mail.example.com), в приветствии это имя автоматически подставляется, если в конфигурационном фале не задано другое; необходимо открыть порт 25 tcp; установить точное время через демон Ntpd или ntpdate; настроить шлюз Postfix на хорошо работающий DNS сервер и добавить A, MX и RPT записи в DNS сервере отвечающем за ваш домен.

Почтовый шлюз занимается пересылкой сообщений от внешних почтовых серверов внутренним и от внутренних внешним. Почтовый шлюз защищает внутренние сервера от: атак, спама, обеспечивает фильтрацию сообщений и др.

Теперь перейдем к наполнению файла /etc/postfix/main.cf

queue_directory = /var/spool/postfix
command_directory = /usr/sbin
daemon_directory = /usr/libexec/postfix
mail_owner = postfix
mail_spool_directory = /var/spool/mail
myhostname = mail.example.com #при приветствии будет отправлять это имя
mydomain = example.com #ваш домен
mynetworks = 192.xx.xx.3, 192.xx.xx.0/24, 127.0.0.1 #определяет тех кто может пользоваться этим шлюзом для пересылки сообщений.
mydestination = example.com #говорит принимать почту для example.com
myorigin = example.com #подставляется к адресу отправителя или получателя если он указан не полностью. Если не указывать значение, будет подставляться значение myhostname.
transport_maps = hash:/etc/postfix/transport #теперь необходимо сказать куда доставлять сообщения для домена. Необходимо создать файл vi /etc/postfix/transport и внести запись вида: example.com smtp:[192.xx.xx.xx] #это говорить, что почту для домена example.com необходимо #перенаправлять на IP адрес сервера 192.xx.xx.xx.

После этого необходимо создать индексируемый файл выполнив: postmap hash:/etc/postfix/transport и #перезагрузить.
postfix: /etc/init.d/postfix restart

local_recipient_maps = #отменим локальную доставку
local_transport = error:local mail delivery is disabled # #сообщения о ошибке локальной доставки т.к. она отключена


# Теперь к защите

smtpd_helo_required = yes #требовать приветствия
disable_vrfy_command = yes #запрещаем проверку отправителем существование адреса получателя на этапе передачи заголовка
smtpd_delay_reject = yes #разрешаем дополнительные проверки пока передает RCPT TO: и MAIL FROM:
strict_rfc821_envelopes = yes #отсекаем криво настроенные почтовые агенты

smtpd_recipient_restrictions =
reject_non_fqdn_recipient, #отвергать сообщения для получателей с неполным доменным именем.
reject_non_fqdn_sender, #отвергать сообщения от отправителя с неполным доменным именем.
reject_unknown_recipient_domain, #отвергать получателей для которых указан несуществующий домен или пользователь
permit_mynetworks, #своим разрешаем
check_recipient_access hash:/etc/postfix/roleaccount_exceptions, #должно быть прописано:

В файле roleaccount_exceptions припишем
# vi /etc/postfix/roleaccount_exceptions
postmaster@ OK
abuse@ OK

#Продолжаем наполнять main.cf
reject_non_fqdn_hostname, #отвергать сообщения от любого клиента не подставляющего полностью определенное имя хоста
reject_multi_recipient_bounce, #запрещать пустое имя в конверте на множество получателей
reject_invalid_hostname, #требование к построению имени хоста, должно содержать домен верхнего уровня, имя домена и точку.(example.com)
reject_unauth_pipelining, #нетерпеливые спамеры

#отказ из черных списков

reject_rbl_client bl.spamcop.net,
reject_rbl_client cbl.abuseat.org,
permit

Перестартуем POSTFIX
/etc/init.d/postfix restart

Если, что то не так смотрим лог vi /var/log/maillog

Далее необходимо прописать в конфигурации вашего внутреннего сервера SMTP relay host, т.е. ip адрес шлюза Postfix.

Примечание: Помним, что знак # - этокомментарий и все, что стоит за ним не рассматривается программой как конфигурация.

Количество просмотров: 9595

Комментарии к статье:

Автор комментария: Роман
Дата: 2016-04-13

Здравствуйте. Подскажите, нужно ли использовать SMTP-аутентификацию, если почтовый сервер будет использоваться в качестве релэя для исходящей почты внутренних почтовых серверов? Достаточно ли в таком случае настроек безопасности, чтобы избежать открытого релэя?

Добавить комментарий

Введите сумму с картинки

© Plutonit.ru - Администрирование, настройка Linux и Windows 2009 - 2017