¿Cómo bloqueo a Postfix para que no envíe spam?

tag-icon tag-icon email postfix spam-prevention
¿Cómo bloqueo a Postfix para que no envíe spam?

Mi postfix envía spam desde un[correo electrónico protegido]DIRECCIÓN. ¿Cómo es esto posible y cómo puedo permitir que solo www-data@localhost envíe y postfix entregue solo desde[correo electrónico protegido]a[correo electrónico protegido](como en mi lista de alias)?

Aquí está mi main.cf:

    # See /usr/share/postfix/main.cf.dist for a commented, more complete version


    # Debian specific:  Specifying a file name will cause the first
    # line of that file to be used as the name.  The Debian default
    # is /etc/mailname.
    #myorigin = *** My main domain ***

    smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
    biff = no

    # appending .domain is the MUA's job.
    append_dot_mydomain = no

    # Uncomment the next line to generate "delayed mail" warnings
    #delay_warning_time = 4h

    readme_directory = no

    # TLS parameters
    smtpd_tls_cert_file = /etc/ssl/certs/ssl-cert-snakeoil.pem
    smtpd_tls_key_file = /etc/ssl/private/ssl-cert-snakeoil.key
    smtpd_use_tls=yes
    smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
    smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache

    # See /usr/share/doc/postfix/TLS_README.gz in the postfix-doc package for
    # information on enabling SSL in the smtp client.

    myhostname = *** My hostname ***
    alias_maps = hash:/etc/aliases
    alias_database = hash:/etc/aliases
    myorigin = $mydomain
    mydestination = $myhostname, localhost.$mydomain, $mydomain, localhost
    mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
    mailbox_size_limit = 0
    recipient_delimiter = +
    smtpd_sasl_auth_enable = yes
    smtpd_sasl_security_options = noanonymous noplaintext
    smtpd_recipient_restrictions = permit_mynetworks reject_unauth_destination permit_inet_interfaces
    smtpd_tls_security_level = may

    virtual_alias_domains = *** My aliases ***
    virtual_alias_maps = hash:/etc/postfix/virtual
    smtpd_tls_auth_only = yes


smtpd_client_restrictions = permit_mynetworks, reject
smtpd_relay_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination, permit
smtpd_data_restrictions = reject_unauth_pipelining
smtpd_end_of_data_restrictions = check_policy_service unix:private/policy
smtp_sasl_auth_enable = no
smtpd_sender_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_non_fqdn_sender, reject_unknown_sender_domain, hash:/etc/postfix/sender_access, permit
smtpd_delay_reject = yes
smtpd_helo_required = yes
smtpd_helo_restrictions = permit_mynetworks, check_helo_access hash:/etc/postfix/sender_access, reject_non_fqdn_hostname, reject_invalid_hostname, permit
smtpd_recipient_restrictions = reject_unauth_pipelining, reject_unauth_destination, reject_non_fqdn_recipient, permit_mynetworks, permit_sasl_authenticated, check_sender_access hash:/etc/postfix/sender_access, reject_rbl_client relays.ordb.org, reject_rbl_client list.dsbl.org, reject_rbl_client sbl-xbl.spamhaus.org, check_policy_service unix:private/spfpolicy, check_policy_service inet:127.0.0.1:10023, permit
transport_maps = hash:/etc/postfix/transport

Respuesta1

Tienes

smtpd_relay_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination, permit

¿Necesitas esa final , permit?

Verhttp://www.postfix.org/SMTPD_ACCESS_README.html#listsque tiene

# Relay control (Postfix 2.10 and later): local clients and
# authenticated clients may specify any destination domain.
smtpd_relay_restrictions = permit_mynetworks, 
    permit_sasl_authenticated,
    reject_unauth_destination

Respuesta2

Vea si configurar Relay_recipient_maps correctamente lo soluciona.

Yo pienso que éste es el problema...

Tiene razón al configurar rechazar_unauth_destination, pero el servidor básicamente no tiene instrucciones explícitas sobre qué es realmente un "destino unauth". Si no es una cuenta o un reenvío en su máquina, no debe estar autorizado a retransmitir a menos que sea una autenticación sasl o una máquina de red permitida.

Los spammers envían mensajes falsificados a su máquina, que no puede entregarlos a cuentas inexistentes. Como no puede determinar si son destinos "no autenticados", intenta tratarlos como errores SMTP legítimos pero no como no autorizados y, por lo tanto, envía el error de vuelta al MTA "de origen" (que está falsificado o mal configurado).

En un servidor de correo configurado correctamente, los aplazamientos deberían ser bastante inusuales. Si se siente seguro al hacerlo y está seguro de que no eliminará nada legítimo, ejecute postsuper -d ALL deferredpara eliminar todo el correo diferido en la cola. Si estoy en lo cierto, la cola no debería volver a llenarse así. para

información relacionada