Типовой конфиг для всех

Общие вопросы по установке и настройке сервера Postfix.
Писать в этот форум могут только зарегистрированные пользователи.

Модераторы: prefer, alexandrnew, ALex_hha, Roman, Axel

Ответить
shoot
Член клуба
Член клуба
Сообщения: 193
Зарегистрирован: 23 июл 2008, 21:53
Откуда: Россия, г. Петрозаводск

Типовой конфиг для всех

Сообщение shoot » 16 апр 2010, 08:40

Итак, предлагаю выкладывать свои конфиги, которые подойдут практически всем. Потом в ходе обсуждения/голосования можно будет выбрать парочку, изменить/дополнить их и утвердить на форуме, можно даже в закрытой теме. Конфиги нужно тщательно комментировать, объясняя, что и зачем

shoot
Член клуба
Член клуба
Сообщения: 193
Зарегистрирован: 23 июл 2008, 21:53
Откуда: Россия, г. Петрозаводск

Сообщение shoot » 16 апр 2010, 10:09

# Клиент, подключившийся к серверу, может командой vrfy определить, существует ли заданный адрес в системе. Т.е. vrfy user@example.com. Поэтому отключаем такую возможность
disable_vrfy_command=yes
# При попытке клиента отправить письмо несуществующему юзеру Постфикс выдаст 550 (reject) с сообщением "user unknown in local recipient table" (или другой таблице). Отключаем, пусть Постфикс просто сообщает "user unknown"
show_user_unknown_table_name=no
# Требуем от клиента приветствия (HELO/EHLO). Все, кто подключается, должны представляться
smtpd_helo_required=yes
# Создаём класс, в котором будет разрешена отправка от имени своего домена (т.е. адрес отправителя user@mydomain.ru). Нужно для того, чтобы никто другой (спамеры, например) не отправляли почту с наших адресов
smtpd_restriction_classes=from_mydomain
# Описание этого класса. Разрешаем отправлять с доверенных сетей (прописанных в mynetworks) или прошедшим аутентификацию. Остальных отбрасываем
from_mydomain=permit_mynetworks, permit_sasl_authenticated, reject
# Теперь идут smtpd_..._restrictions в порядке, в котором они обрабатываются
# Ограничения для этапа HELO/EHLO. Применяются к имени хоста, его айпи-адресу и приветствию HELO/EHLO.
smtpd_helo_restrictions=
# Разрешаем доверенные сети
[пробел]permit_mynetworks,
# Разрешаем тем, кто прошёл аутентификацию
[пробел]permit_sasl_authenticated,
# Отбрасываем неправильное (несуществующее) имя хоста (например hjfhg.r)
[пробел]reject_invalid_hostname,
# Отбрасываем не полностью определённое доменное имя хоста
[пробел]reject_non_fqdn_hostname,
# Отбрасываем, если хост по HELO/EHLO не имеет А или МХ записи в ДНС
[пробел]reject_invalid_helo_hostname
# Ограничения для этапа MAIL FROM. Применяется ко всему предыдущему + имя отправителя
smtpd_sender_restrictions=
# Отбрасываем не полностью определённое имя отправителя
[пробел]reject_non_fqdn_sender,
# Отбрасываем отправителя с несуществующего домена
[пробел]reject_unknown_sender_domain,
# Отбрасываем несуществующих отправителей
[пробел]reject_unlisted_sender,
# Проверяем отправителя. Если с нашего домена, то проверим, находится ли он в доверенной сети или прошёл аутентификацию
[пробел]check_sender_access hash:/etc/postfix/mysenders
# Разрешаем отправлять с доверенных сетей
[пробел]permit_mynetworks,
# Разрешаем отправлять прошедшим аутентификацию
[пробел]permit_sasl_authenticated,
# Ограничения для этапа RCPT TO. Применяется к предыдущему + имя получателя
smtpd_recipient_restrictions=
[пробел]reject_non_fqdn_recipient,
[пробел]reject_unknown_recipient_domain,
[пробел]reject_unlisted_recipient,
[пробел]permit_mynetworks,
[пробел]permit_sasl_authenticated,
# Режект, если получатель отсутствует в списке нашего домена или списке пересылки. Чтобы сервер на стал открытым релеем
[пробел]reject_unauth_destination
# Ограничения для этапа DATA
smtpd_data_restrictions=
# Отвергаем запрос, когда клиент посылает команды SMTP раньше времени, ещё не зная, поддерживает ли Постфикс
[пробел]reject_unauth_pipelining,
# Режект клиента с пустым именем отправителя, который отправляет сразу нескольким получателям
[пробел]reject_multi_recipient_bounce
# Ограничиваем клиенты, которые могут запрашивать у Постфикс очистку очереди сообщений
smtpd_etrn_restrictions=
[пробел]permit_mynetworks,
[пробел]permit_sasl_authenticated,
[пробел]reject

Файл /etc/postfix/mysenders:
# Те, кто отправляет письма от нашего домена, проверяются классом from_mydomain
mydomain from_mydomain
Последний раз редактировалось shoot 16 апр 2010, 10:16, всего редактировалось 1 раз.

shoot
Член клуба
Член клуба
Сообщения: 193
Зарегистрирован: 23 июл 2008, 21:53
Откуда: Россия, г. Петрозаводск

Сообщение shoot » 16 апр 2010, 10:14

Итоговый конфиг без комментов
disable_vrfy_command=yes
show_user_unknown_table_name=no
smtpd_helo_required=yes
smtpd_restriction_classes=from_mydomain
from_mydomain=permit_mynetworks, permit_sasl_authenticated, reject
smtpd_helo_restrictions=
[пробел]permit_mynetworks,
[пробел]permit_sasl_authenticated,
[пробел]reject_invalid_hostname,
[пробел]reject_non_fqdn_hostname,
[пробел]reject_invalid_helo_hostname
smtpd_sender_restrictions=
[пробел]reject_non_fqdn_sender,
[пробел]reject_unknown_sender_domain,
[пробел]reject_unlisted_sender,
[пробел]check_sender_access hash:/etc/postfix/mysenders
[пробел]permit_mynetworks,
[пробел]permit_sasl_authenticated,
smtpd_recipient_restrictions=
[пробел]reject_non_fqdn_recipient,
[пробел]reject_unknown_recipient_domain,
[пробел]reject_unlisted_recipient,
[пробел]permit_mynetworks,
[пробел]permit_sasl_authenticated,
[пробел]reject_unauth_destination
smtpd_data_restrictions=
[пробел]reject_unauth_pipelining,
[пробел]reject_multi_recipient_bounce
smtpd_etrn_restrictions=
[пробел]permit_mynetworks,
[пробел]permit_sasl_authenticated,
[пробел]reject

Файл /etc/postfix/mysenders:
mydomain.ru from_mydomain

Аватара пользователя
ssbury
Член клуба
Член клуба
Сообщения: 112
Зарегистрирован: 29 дек 2009, 11:20

Сообщение ssbury » 16 апр 2010, 10:28

Нам же не нужно принимать почту от собственного сервера :)
Создаем файл в котором прописываем IP сервера и HOSTNAME

/etc/postfix/helo_check:

Код: Выделить всё

/\.domain\.local\.net$/          550 Don't use my host name
/^10\.10\.10\.10$/           550 Don't use my host name
/^\[10\.10\.10\.10\]$/       550 Don't use my host name
/etc/postfix/main.cf:

Код: Выделить всё

smtpd_helo_restrictions = 
                        permit_mynetworks,
                        permit_sasl_authenticated,
                        reject_invalid_hostname,
                        check_helo_access pcre:/etc/postfix/helo_check,

shoot
Член клуба
Член клуба
Сообщения: 193
Зарегистрирован: 23 июл 2008, 21:53
Откуда: Россия, г. Петрозаводск

Сообщение shoot » 16 апр 2010, 10:43

Да, на моём сервере есть ограничение, чтобы хосты не представлялись моим серваком. Сюда решил не включать, дабы не загромождать сильно конфиг. Кроме того, довольно редко (ну, у меня) встречаются клиенты, представляющиеся моим сервером. Если остальные считают, что надо, тогда давайте и это включим в конфиг :)

Аватара пользователя
Виктор
Член клуба
Член клуба
Сообщения: 833
Зарегистрирован: 02 июн 2006, 15:54
Откуда: Южно-Сахалинск

Сообщение Виктор » 17 апр 2010, 16:17

[quote="shoot"чтобы хосты не представлялись моим серваком. Сюда р:)[/quote]
Не понял этого прикола.
Кто может Вами "представлятся" если почтовик настроен нормально?
чем. толще наши морды. тем теснее наши ряды.

Аватара пользователя
Виктор
Член клуба
Член клуба
Сообщения: 833
Зарегистрирован: 02 июн 2006, 15:54
Откуда: Южно-Сахалинск

Re: Типовой конфиг для всех

Сообщение Виктор » 17 апр 2010, 16:26

shoot писал(а):Итак, предлагаю выкладывать свои конфиги, которые подойдут практически всем. Потом в ходе обсуждения/голосования можно будет выбрать парочку, изменить/дополнить их и утвердить на форуме, можно даже в закрытой теме. Конфиги нужно тщательно комментировать, объясняя, что и зачем
Мой скромный влад:
viewtopic.php?t=23782&postdays=0&postorder=asc&start=15
чем. толще наши морды. тем теснее наши ряды.

Аватара пользователя
Виктор
Член клуба
Член клуба
Сообщения: 833
Зарегистрирован: 02 июн 2006, 15:54
Откуда: Южно-Сахалинск

Сообщение Виктор » 17 апр 2010, 16:44

ssbury писал(а):Нам же не нужно принимать почту от собственного сервера :)
Создаем файл в котором прописываем IP сервера и HOSTNAME

/etc/postfix/helo_check:

Код: Выделить всё

/\.domain\.local\.net$/          550 Don't use my host name
/^10\.10\.10\.10$/           550 Don't use my host name
/^\[10\.10\.10\.10\]$/       550 Don't use my host name
/etc/postfix/main.cf:

Код: Выделить всё

smtpd_helo_restrictions = 
                        permit_mynetworks,
                        permit_sasl_authenticated,
                        reject_invalid_hostname,
                        check_helo_access pcre:/etc/postfix/helo_check,
Это что за байда- принимать почту от своего сервера?
Поподробнее с этого места...
чем. толще наши морды. тем теснее наши ряды.

Аватара пользователя
Виктор
Член клуба
Член клуба
Сообщения: 833
Зарегистрирован: 02 июн 2006, 15:54
Откуда: Южно-Сахалинск

Сообщение Виктор » 17 апр 2010, 16:57

[# Создаём класс, в котором будет разрешена отправка от имени своего домена (т.е. адрес отправителя user@mydomain.ru). Нужно для того, чтобы никто другой (спамеры, например) не отправляли почту с наших адресов

Коллега нафига начинающим админам классы?
Зачем нужна эта строка?
Борьба со спаммерами которые отправляют от Вашего адреса?
Мой конф ломает все это
От сендера?
На дня положу обновление viewtopic.php?t=2236
чем. толще наши морды. тем теснее наши ряды.

shoot
Член клуба
Член клуба
Сообщения: 193
Зарегистрирован: 23 июл 2008, 21:53
Откуда: Россия, г. Петрозаводск

Сообщение shoot » 17 апр 2010, 17:50

Коллега нафига начинающим админам классы?
Зачем нужна эта строка?
Борьба со спаммерами которые отправляют от Вашего адреса?
Мой конф ломает все это
Может, выложите прямо в этой теме свой конфиг с комментариями, что и зачем? Тогда и можно будет обсуждать. И содержимое файлов, используемых в конфиге, тоже
Не понял этого прикола.
Кто может Вами "представлятся" если почтовик настроен нормально?
Я же говорю, на моём сервере спамеры не смогут представиться моим серваком. Проверка helo присутствует

Ответить