Słuchaj.
Każdy mechanizm filtrujący pocztę obciąża CPU. Testy, analizy
wiadomości, ........ .
Jedyny nie obciążający i ucinający (a obecnie chyba najlepszy) to jest
właśnie postcreen. Ucina w zarodku przed analizą.
Obecnie na jednym z moich serwerów wycina 97% niechcianej poczty, na
kolejnym 70%.
Oraz RBL'e.
Wszystko co będzie sprawdzało wiadomość na 100% obciąży Ci CPU (nie ma
siły).
No tak, to Jest dla mnie jasne. Bardziej chodziło mi o to jakie RBLe
dobrze wam się sprawdzają tudzież jakie testy dla postscreena wstawić.
W szczególności chodzi o false-positive. Jak na razie mam:
smtpd_recipient_restrictions =
permit_mynetworks,
permit_sasl_authenticated,
reject_unauth_destination,
check_policy_service inet:192.168.1.1:23
# to ostatnie to postgrey na zdalnym systemie,
# w OpenWrt brakuje zarówno modułów do perla
# jak i zasobów (głównie pamięć) więc postawiłem zdalnie
smtpd_client_restrictions =
permit_mynetworks,
permit_sasl_authenticated,
reject_unknown_client,
reject_unauth_pipelining,
reject_rbl_client cbl.abuseat.org,
reject_rbl_client blackholes.easynet.nl,
reject_rbl_client proxies.blackholes.wirehub.net,
reject_rbl_client bl.spamcop.net,
reject_rbl_client sbl.spamhaus.org,
reject_rbl_client sbl-xbl.spamhaus.org,
reject_rbl_client dnsbl.ahbl.org,
reject_rbl_client zen.spamhaus.org,
reject_rbl_client dnsbl.njabl.org,
reject_rbl_client dnsbl.sorbs.net,
reject_rhsbl_sender dsn.rfc-ignorant.org
Co do postscreena to kombinuje tak:
postscreen_access_list = permit_mynetworks,
cidr:/etc/mail/postscreen_access.cidr
postscreen_blacklist_action = drop
postscreen_dnsbl_threshold = 3
postscreen_dnsbl_sites = zen.spamhaus.org*2,bl.spamcop.net*1,
postscreen_dnsbl_action = enforce
postscreen_greet_banner = $smtpd_banner
postscreen_greet_action = enforce
postscreen_bare_newline_enable = no
postscreen_non_smtp_command_enable = yes
postscreen_non_smtp_command_action = drop
postscreen_pipelining_enable = no
Tu jest na razie problem. OpenWrt'owy postfix nie ma wsparcia do baz
danych btree. W związku z tym nie mam jak ustawić
postscreen_cache_map. Nie wiem czy uda mi się to jakoś wkompilować.
Co myślicie?? Ma to sens?? Co byście poprawili??
smtpd_client_restrictions =
# cbl.abuseat.org - zajebist blokuje chincow
#permit_mynetworks,
permit_sasl_authenticated, reject_unauth_pipelining,
reject_rbl_client cbl.abuseat.org,
reject_rbl_client blackholes.easynet.nl,
reject_rbl_client proxies.blackholes.wirehub.net,
reject_rbl_client bl.spamcop.net,
reject_rbl_client sbl.spamhaus.org,
reject_rbl_client sbl-xbl.spamhaus.org, reject_rbl_client
dnsbl.ahbl.org, reject_rbl_client zen.spamhaus.org, reject_rbl_client
dnsbl.njabl.org, permit_mynetworks, reject_rbl_client dnsbl.sorbs.net,
reject_rhsbl_sender dsn.rfc-ignorant.org
#=========================================== P O S T S C R E E N
===================================================
# Wlacz/wylacz liste: ignore - nie robi nic; enforce - czeka na
wieksza liczbe testow i w mieszyczasie odpowiada 550 - skrzynka nie
dostepna; drop od razu porzuca
# Listy statyczne
postscreen_access_list = permit_mynetworks,
cidr:/etc/mail/postscreen_access.cidr
postscreen_blacklist_action = drop
# Czarne listy dns - DNSBL
# Z 3 list musi dotrzec informacja o spamie zanim postscreen okresli
adresata jako z spamera
postscreen_dnsbl_threshold = 3
postscreen_dnsbl_sites = zen.spamhaus.org*2,bl.spamcop.net*1,
postscreen_dnsbl_action = enforce
# Faza pregreeting
postscreen_greet_banner = $smtpd_banner
postscreen_greet_action = enforce
# Testy Postscreena
#postscreen_bare_newline_action = enforce
#postscreen_pipelining_action = enforce
postscreen_bare_newline_enable = no
# Z tym ustawieniem dziala wszystko poza web.de oraz gmx.de
postscreen_non_smtp_command_enable = yes
postscreen_non_smtp_command_enable = no
postscreen_non_smtp_command_action = drop
postscreen_pipelining_enable = no
_______________________________________________
pld-users-pl mailing list
[email protected]
http://lists.pld-linux.org/mailman/listinfo/pld-users-pl
