Forum général.cherche-logiciel Postfix et le backscattering

Posté par (page perso) .
Tags : aucun
1
1
mar.
2010
Bonjour,

Ca va faire un bout de temps que je suis backscatterer et que j'aimerai trouver une solution pour que cela change.

Bon alors pour pauser un peu le cadre d'utilisation de mon postfix :

1° De nombreux clients s'y connectent depuis une plage d'adresse ip connue mais avec des mailbox dans des domaines variables et non connus à l'avance.
2° On est MX backup pour certains clients mais on ne sait pas quel est la liste de leur mailbox et je ne pourrai pas le savoir.

A supposer qu'un client de mon réseau envoie un email de ce type, il peut très bien flooder une mailbox innocente (dans les limites des quota) de ce type de spam.

Maintenant je pourrais très bien ne pas émettre des NDR mais dans ce cas, si je dois vraiment envoyer un NDR ça posera problème (exemple : un problème temporaire comme un "overt quota" coté destinataire).

Ma config :

myorigin=company.net
mydomain=company.net
myhostname=server.company.net
inet_interfaces=10.160.0.7,217.4.40.42
mynetworks = 217.4.40.0/20,127.0.0.0/8,80.91.4.0/20
permit_mx_backup_networks = 217.4.40.0/20, 80.91.4.0/20, 213.20.29.0/25

smtpd_recipient_restrictions =
reject_invalid_hostname,
reject_non_fqdn_sender,
reject_non_fqdn_recipient,
reject_unknown_sender_domain,
reject_unknown_recipient_domain,
check_policy_service unix:private/policy,
permit_mynetworks,
reject_rbl_client zen.spamhaus.org,
permit_mx_backup,
reject_unauth_destination,
permit


queue_directory = /var/spool/postfix
command_directory = /usr/sbin
mail_owner = postfix
mydestination = $myhostname, localhost.$mydomain, localhost, mx1.mactelecom.net, mx1.clearwire.be


alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
local_recipient_maps = proxy:unix:passwd.byname $alias_maps
sendmail_path = /usr/sbin/sendmail.postfix
newaliases_path = /usr/bin/newaliases.postfix
mailq_path = /usr/bin/mailq.postfix
setgid_group = postdrop

smtpd_error_sleep_time = 0
smtp_connect_timeout = 20
smtp_helo_timeout = 40

anvil_rate_time_unit = 900s
anvil_status_update_time = 900s
smtpd_client_message_rate_limit = 75
smtpd_client_connection_count_limit = 10
smtpd_client_connection_rate_limit = 100
smtpd_client_recipient_rate_limit = 1000
smtpd_client_event_limit_exceptions = 217.4.40.51
header_checks = regexp:/etc/postfix/header_checks
transport_maps = hash:/etc/postfix/transport


smtpd_soft_error_limit = 5
smtpd_hard_error_limit = 5
smtpd_error_sleep_time = 0
unverified_recipient_reject_code = 550
disable_vrfy_command = yes
smtpd_helo_required = yes
relay_domains = hash:/etc/postfix/relay-domains
readme_directory = /usr/share/doc/postfix
html_directory = /usr/share/doc/postfix/html



Bon ben voila, je pense avoir fait le tour du problème. Si quelqu'un sait m'aider pour cela, ce serait super !

Merci d'avance
  • # MX secondaire

    Posté par (page perso) . Évalué à 3.

    Le problème vient donc exclusivement des domaines pour lesquels tu relaies du courrier, puisque tu n'as pas de table de leurs destinataires.

    Solution : tu obtiens une table, tu cesses complètement d'envoyer des NDR ou tu cesses d'être MX secondaire. C'est tout.
    • [^] # Re: MX secondaire

      Posté par (page perso) . Évalué à 1.

      Ok c'est logique.

      Cesser complètement d'envoyer des NDR n'est pas une option, surtout dans le cadre du service de relai. Cesser d'être MX secondaire non plus, obtenir une table ce serait surement fort difficile. Bon tu va me dire que ça c'est un peu mon problème et évidemment tu as raison.

      Question auxiliaires : est-il possible de ne pas envoyer de NDR dans le cas ou la connexion smtp se ferait dans un contexte backup MX ? En gros je voudrais supprimer les NDR uniquement si la connexion ne se fait pas depuis mynetwork, est-ce possible ?

      Merci du coup de main :)

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.