[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[postfix-jp:03880] Greylisting - check_policy_service
- Subject: [postfix-jp:03880] Greylisting - check_policy_service
- From: Tomoyuki Sakurai <ml-postfix-jp@xxxxxxxxxxxxxxx>
- Date: Mon, 26 Jan 2004 22:34:39 +0900
On Mon, 26 Jan 2004 14:51:54 +0900
Tamachan <tamachan@xxxxxxxxxxxxxx> wrote:
| で言及されていますが,(テストを除いて)実際に現場で使われ
| ている方は寡聞にして存じません。
すでに4ヶ月以上実環境(?)で使用しています。ユーザ数は50くらいですが。
Experimental releaseのexamples/smtpd-policyにsmtpd-policy.plがあります。
syslogの表示などを少しいじって使用しています。
例えば115行目の
return "defer_if_permit Service is unavailable";
を
return "450 Service is unavailable";
にしています。DNSBLを併用している場合、こうすることでDNSBLに対するクエリ
を激減させることができます。また、ホワイトリストの作成も非常に重要です。
ホワイトリストなしでDNSBLを使用するのは資源の無駄ですし、DDoSにさらされ
ているDNSBLサイトにさらに負荷をかけることになりますから。ホワイトリスト
なしでDNSBLを使用するのはもはや犯罪に近いかと思います。
greylist_delayはポリシーや相手の出方を見ながら決めるといいでしょう。ちな
みに手元では9割以上のopen proxyからの接続は最長でも15分ほどです。60分が
長すぎるなら、30-45分でもいいでしょう。環境(というかユーザ)依存ですね。
return "dunno";
にすれば、事前にホワイトリストを作成するのに役に立つかもしれません。
main.cfには次のような感じで。
| db_dir = /path/to/database/dir
| smtpd_recipient_restrictions =
| ...
| reject_unauth_destination,
| check_client_access hash:$db_dir/local.whitelist.by.client.hash,
| chech_sender_access hash:$db_dir/local.whitelist.by.recipient.hash,
| check_client_access hash:$db_dir/local.blacklist.hash,
| check_policy_service unix:private/policy,
| reject_rbl_client some.dnsbl.example.org,
| ...
| warn_if_reject,
| check_client_access pcre:$db_dir/warn.pcre,
| permit
local.whitelist.by.client.hashには、
postmasster@example.org OK
abuse@example.org OK
idiot@example.org OK
ceo@example.org OK
warn.pcreには
/.*/ 450 client is not whitelisted.
などと指定しています。
smtpd_restriction_classesなどで複数のpolicyを使い分ける(クライアントによっ
て厳しい/緩いGreylisting制限とかいろいろ)ことも可能です。
SMTPD_POLICY_READMEにはプロトコルの解説があります。
こうした制限をくぐり抜けてくるのは、壊れたExchange/open relay/ISPのMTAを
使用したspam(つまりMTA経由)ぐらいですので、個別に対応しましょう。あ、
freebitやocn.ne.jpに巣くうspammerとかも壊れているので、こちらも特別な対
応をしてあげましょう。
この機能は次のリリースに含まれるようです。もう、1.xを使い続ける理由はな
いと思います。
--
Tomoyuki Sakurai - Tomi -
mailto:ml-postfix-jp@xxxxxxxxxxxxxxx
local dnsbl files updated daily at
rsync://trombik.mine.nu/spf/
- Follow-Ups
-
- [postfix-jp:03881] Re: Greylisting - check_policy_service, Tomoyuki Sakurai
- [postfix-jp:03884] Re: Greylisting - check_policy_service, Tomoyuki Sakurai
- References
-
- [postfix-jp:03878] おなじみ さん方式の実装, Yasuhiro Enomoto
- [postfix-jp:03879] Re: おなじ みさん方式の実装, Tamachan
[検索ページ]
[Postfix-JP ML Home]