Antispam řešení pro Postfix pomocí kombinace firewallu a emailové brány ScrollOut F1. E-mailová brána (také známá jako firewall) je počítač (fyzický nebo virtuální) nainstalovaný mezi Internetem a e-mailovým serverem. Jejím hlavním úkolem je chránit e-mailový server filtrováním příchozích zpráv prostřednictvím protokolu SMTP z Internetu.
Sekundárně lze e-mailovou bránu použít jako odchozí bránu v případě, že chcete přidat některé nové funkce e-mailu, které starší e-mailové servery neposkytují. Například Exchange 2000 nebo 2003 nemá službu podepisování a ověřování DKIM – zlepšení kvality doručování zpráv.
Po úspěšném spuštění e-mail firewallu Scrollout F1 je nutné provést poslední dva kroky. Změnit DNS MX záznam odkazující na nový SMTP server (Scrollout F1) u registrátora domény. A upravit main.cf konfiguraci stávajícího Postfix serveru. Postfix již není nutné kontaktovat přímo. Po nasazení email firewallu slouží Postfix pouze pro lokální předávání zpráv. A to buď pro služby v LAN síti, nebo jako prostředník mezi Scrollout F1 a internetem.
Obsah
Postifx antispam firewall
Spamovací skripty či botnety obvykle nebudou používat DNS překlad, to jest MX záznam ale budou přistupovat přímo k serveru. Ne vyloučenou variantou je, že po spuštění firewallu a změně MX záznamu poštovního serveru na to zaměstnanci spamovací farmy dřívě nebo později příjdou a začnou používat IP adresu. Obzvlášť v případě, že se jim v minulosti na vašem adresním rozsahu z nějaké příčiny dařilo :) I po nasazení antispam řešení v podobě email firewallu může výstup z mail.log
grep -o "[0-9]\+\.[0-9]\+\.[0-9]\+\.[0-9]\+" /var/log/mail.log.1 | sort | uniq -c | sort -nobsahovat jednotky nebo desítky tisíc záznamů
SASL LOGIN authentication failed: UGFzc3dvcmQ6a statistika přístupů z IP adres:
1006 78.128.113.88
1038 78.128.113.87
1046 194.61.24.154
1650 103.167.84.88
2128 109.183.24.220
2197 5.188.206.99
2215 5.188.206.158
2226 5.188.206.101
2233 5.188.206.100
2256 5.188.206.98
2261 5.188.206.155
2277 5.188.206.157
2290 5.188.206.102
2298 5.188.206.156
2481 5.188.206.154
2501 180.214.239.72
3109 212.70.149.56
3135 212.70.149.88
3778 87.246.7.228
4352 87.246.7.245
12483 212.70.149.88
20055 109.237.103.118
27855 109.237.103.19kde první číslo je počet přístupů na mail server a druhé číslo je IP adresa. Řešení je úprava postfix konfigurace v main.conf souboru kde přidáme řádek
inet_interfaces = lan.ip.adresa.serveruUžitečné je i omezení přístupu k ověřovacímu mechanizmu SASL, tato konfigurace ale funguje / nefunguje ve vztahu k dalším nastavením Postfix. To znamená, že v konfiguraci sice byt může ale fungovat bez chybové hlášky nemusí :)
smtpd_sasl_exceptions_networks = !127.0.0.1 !10.0.0.0/8Pokud nechcete zasahovat do konfigurace Postfix lze definovat podmínku pro přístup pomocí firewallu. Příklad pro Mikrotik Firewall
;;; TCP Mail server
chain=forward action=drop protocol=tcp dst-address-list=mailserver in-interface=WAN dst-port=25,465,587 log=yes log-prefix="MAILSERVER_"
;;; UDP Mail server
chain=forward action=drop protocol=udp dst-address-list=!mailserver in-interface=WAN dst-port=25,465,587 log=no log-prefix="MAILSERVER_"Scrollout F1 běží na vlastním hostingu a IP adrese, pomocí adres listu dst-address-list=!ip.adresa.neni.mailserver tedy definujeme IP adresu / IP adresy původního poštovního serveru ke kterému chceme filtrovat přímy přístup z internetu.
ScrollOut F1 statistika
Po tom co se mail server „schoval“ za firewall část spam botů přestala používat DNS překlad a místo toho pokračovala připojením „přímo“ na původní IP adresu mail serveru. Po zablokování přístupu (na porty 25, 465 a 587) v gateway firewallu na původní server z WAN – potažmo umožněným přístupem pouze přes mail firewall, je patrný postupný nárust odmítnutých spojení, kdy spameři postupně zjišťovali, že přístup napřímo přestal fungovat a začali (neúspěšně) používat platný MX záznam.
ScrolOut F1 Administrace
Užitečné
Text ScrollOut F1 + Netfilter IPtables
SourceForge stránka ScrollOut F1 firewall.
DKIM podpis na poštovním serveru.