Postfix - как защититься от подмены адреса отправителя?: различия между версиями

Материал из support.qbpro.ru
Нет описания правки
Нет описания правки
 
Строка 28: Строка 28:
  TempError_Defer = False
  TempError_Defer = False
   
   
  ## Теперь если письмо приходит якобы с этих доменов и не проходит проверку SPF, то эти письма режутся.
  ## Теперь если письмо с подменом домена и не проходит проверку SPF, то тут же режется.
  Reject_Not_Pass_Domains = mail.ru,inbox.ru,list.ru,bk.ru,yahoo.com,googlemail.com,gmail.com
  Reject_Not_Pass_Domains = mail.ru,inbox.ru,list.ru,bk.ru,yahoo.com,googlemail.com,gmail.com
   
   
Строка 36: Строка 36:
* Для дополнительно информации читаем справку
* Для дополнительно информации читаем справку
  man policyd-spf.conf
  man policyd-spf.conf
<br>
'''ИСТОЧНИКИ:'''
<hr>
* [https://wiki.dieg.info/postfix-policyd-spf-python postfix-policyd-spf-python]
* [https://qna.habr.com/q/307778 Как защититься от подмены адреса отправителя?]

Текущая версия от 01:32, 30 октября 2023

  • Устанавливаем необходимые пакеты:
# aptitude install postfix-policyd-spf-python
  • Добавляем в /etc/postfix/main.cf
...
policy-spf_time_limit = 3600s
...
  • Далее ищем объявление smtpd_recipient_restrictions и добавляем в него (после reject_unauth_destination) строку check_policy_service unix:private/policy-spf.
...
reject_unauth_destination
check_recipient_access hash:/etc/postfix/roleaccount_exceptions
reject_non_fqdn_hostname
check_helo_access pcre:/etc/postfix/pcre_helo_checks.cf
check_sender_mx_access cidr:/etc/postfix/cidr_mx_access
check_policy_service unix:private/policy-spf
permit
  • Переходим к файлу /etc/postfix/master.cf: в него добавляем следующую строку:
policy-spf  unix  -       n       n       -       0       spawn
  user=nobody argv=/usr/bin/policyd-spf /etc/postfix-policyd-spf-python/policyd-spf.conf
  • Дополнительные настройки в файле /etc/postfix-policyd-spf-python/policyd-spf.conf и описания настроек в файле policyd-spf.conf.commented. Рабочий вариант policyd-spf.conf:
#  For a fully commented sample config file see policyd-spf.conf.commented
debugLevel = 1 
TestOnly = 1

HELO_reject = Fail
Mail_From_reject = Fail

PermError_reject = False
TempError_Defer = False

## Теперь если письмо с подменом домена и не проходит проверку SPF, то тут же режется.
Reject_Not_Pass_Domains = mail.ru,inbox.ru,list.ru,bk.ru,yahoo.com,googlemail.com,gmail.com

## mynet
skip_addresses = 127.0.0.0/8,192.168.3.0/24,192.168.77.0/24

  • Для дополнительно информации читаем справку
man policyd-spf.conf


ИСТОЧНИКИ: