HAUT

Milter-greylist pour Postfix Gnu/Linux Debian Wheezy

Cet article vient en complément des articles précédents et il permet de mettre en place une Greylist‘ pour lutter contre le spam. Pour cela nous allons utiliser milter-greylist.

\r\nCe programme est disponible sous Gnu/Linux Debian Wheezy 7.0 en version >=4.3.9. Pour l’installer avec les dépendances nécessaires à notre configuration, rien de plus simple avec notre habituelle commande :\r\n

apt-get install milter-greylist

\r\nDans la version Gnu/linux Debian wheezy, il a été compilé avec le SPF et la gestion des listes de blocage que nous utiliserons pour que Postfix n’est plus à le prendre en charge.\r\n\r\nPour configurer, nous devons éditer le fichiers et intégrer la configuration suivante dans :\r\n/etc/milter-greylist/greylist.conf\r\n

# Simple greylisting config file\r\n\r\n# base des ips blacklistées ou whitelistées.\r\ndumpfile "/var/lib/milter-greylist/greylist.db" 600\r\ndumpfreq 1d\r\n\r\n# si on veut des logs bien verbeux dé-commenter le paramêtre suivant\r\n# verbose\r\n\r\n# On ne pas de message donnant trop d'indication au refus de mail\r\nquiet\r\n\r\n# ne rien ajouter à l'entete du mail reçu sauf si derrière on "score" le niveau de spam\r\nreport none\r\n\r\n# MX peering pas de mx secondaire pourquoi faire ?\r\n#peer 192.0.2.17\r\n#peer 192.0.2.18\r\n\r\n# list de serveurs acceptables\r\ndnsrbl "MTAWL" list.dnswl.org 127.0.0.0/16\r\n\r\n# list de serveurs pas acceptables ?! ;)\r\ndnsrbl "NJABL" dnsbl.njabl.org 127.0.0.0/24\r\ndnsrbl "CBL ABUSEAT" cbl.abuseat.org 127.0.0.0/24\r\ndnsrbl "SORBS" dnsbl.sorbs.net 127.0.0.0/24\r\ndnsrbl "SPAMCOP" bl.spamcop.net 127.0.0.0/24\r\ndnsrbl "SPAMHAUS" zen.spamhaus.org 127.0.0.0/24\r\ndnsrbl "SPAMCANNIBAL" bl.spamcannibal.org 127.0.0.0/24\r\n\r\n# Notre réseau...\r\nlist "mon reseau" addr { 127.0.0.1/8 ::1 }\r\n\r\n# ... ne subit pas de greylist ou contrôle.\r\nracl whitelist list "mon reseau"\r\n\r\n# les acceptables non plus.\r\nracl whitelist dnsrbl "MTAWL"                                                                                                                               \r\n\r\n# les autres on ne veut pas de vous !\r\nracl blacklist dnsrbl "SORBS"  msg "Bad reputation - listed on dnsbl.sorbs.net blacklist" flushaddr\r\nracl blacklist dnsrbl "CBL ABUSEAT" msg "Bad reputation - listed on cbl.abuseat.org blacklist" flushaddr\r\nracl blacklist dnsrbl "SPAMCOP" msg "Bad reputation - listed on bl.spamcom.net backlist" flushaddr\r\nracl blacklist dnsrbl "NJABL" msg "Bad reputation - listed on dnsbl.njabl.org blacklist" flushaddr\r\nracl blacklist dnsrbl "SPAMHAUS" msg "Bad reputation - listed on zen.spamhaus.org blacklist" flushaddr\r\nracl blacklist dnsrbl "SPAMCANNIBAL" msg "Bad reputation - listed on bl.spamcannibal.org blacklist" flushaddr\r\n\r\n# si le spf  est absent , on greylist par précaution.\r\nracl greylist spf softfail delay 30m\r\n# on blacklist le spf qui existe mais ne correspond pas. \r\nracl blacklist spf fail flushaddr\r\n# par défaut on greylist et si le greylist est bon, on whiteliste pendant 30j\r\nracl greylist default delay 7m autowhite 30d\r\n

\r\nle fichier pour permettre le démarrage de milter-greylist :\r\n/etc/default/milter-greylist\r\n

 \r\nENABLED=1\r\nSOCKET="inet:14123@[127.0.0.1]"\r\n

\r\nPour terminer, nous configurons Postfix en ajoutant :\r\n/etc/postfix/main.cf\r\n

 ....\r\nmilter_default_action = accept\r\nmilter_connect_macros = j _ {client_addr} {client_name} {client_port} {daemon_name} v\r\nmilter_protocol = 6\r\nsmtpd_milters = inet:localhost:14123\r\n.....

\r\net nous désactivons le filtre pour les envois smtp authentifiés :\r\n/etc/postfix/master.cf\r\n

submission inet n       -       -       -       -       smtpd\r\n......\r\n-o smtpd_milters=\r\n.............\r\n

\r\nMaintenant, vos utilisateurs recevrons bien moins de Spams. n’oubliez pas de supprimer les dnsbl dans postfix qui seront en double emploi avec ceux de milter-greylist. Nous avons seulement maintenu la règle suivante dans notre configuration de Postfix précédente : reject_rhsbl_sender dsn.rfc-ignorant.org

Les commentaires sont fermés.