Мой постфикс рассылает спам с[email protected]адрес. Как это возможно и как мне разрешить отправлять только www-data@localhost и postfix доставлять только с[email protected]к[email protected](как в моем списке псевдонимов)?
Вот мой main.cf:
# See /usr/share/postfix/main.cf.dist for a commented, more complete version
# Debian specific: Specifying a file name will cause the first
# line of that file to be used as the name. The Debian default
# is /etc/mailname.
#myorigin = *** My main domain ***
smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
biff = no
# appending .domain is the MUA's job.
append_dot_mydomain = no
# Uncomment the next line to generate "delayed mail" warnings
#delay_warning_time = 4h
readme_directory = no
# TLS parameters
smtpd_tls_cert_file = /etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file = /etc/ssl/private/ssl-cert-snakeoil.key
smtpd_use_tls=yes
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
# See /usr/share/doc/postfix/TLS_README.gz in the postfix-doc package for
# information on enabling SSL in the smtp client.
myhostname = *** My hostname ***
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = $mydomain
mydestination = $myhostname, localhost.$mydomain, $mydomain, localhost
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
mailbox_size_limit = 0
recipient_delimiter = +
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous noplaintext
smtpd_recipient_restrictions = permit_mynetworks reject_unauth_destination permit_inet_interfaces
smtpd_tls_security_level = may
virtual_alias_domains = *** My aliases ***
virtual_alias_maps = hash:/etc/postfix/virtual
smtpd_tls_auth_only = yes
smtpd_client_restrictions = permit_mynetworks, reject
smtpd_relay_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination, permit
smtpd_data_restrictions = reject_unauth_pipelining
smtpd_end_of_data_restrictions = check_policy_service unix:private/policy
smtp_sasl_auth_enable = no
smtpd_sender_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_non_fqdn_sender, reject_unknown_sender_domain, hash:/etc/postfix/sender_access, permit
smtpd_delay_reject = yes
smtpd_helo_required = yes
smtpd_helo_restrictions = permit_mynetworks, check_helo_access hash:/etc/postfix/sender_access, reject_non_fqdn_hostname, reject_invalid_hostname, permit
smtpd_recipient_restrictions = reject_unauth_pipelining, reject_unauth_destination, reject_non_fqdn_recipient, permit_mynetworks, permit_sasl_authenticated, check_sender_access hash:/etc/postfix/sender_access, reject_rbl_client relays.ordb.org, reject_rbl_client list.dsbl.org, reject_rbl_client sbl-xbl.spamhaus.org, check_policy_service unix:private/spfpolicy, check_policy_service inet:127.0.0.1:10023, permit
transport_maps = hash:/etc/postfix/transport
решение1
У вас есть
smtpd_relay_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination, permit
Вам нужен этот финал , permit?
Видетьhttp://www.postfix.org/SMTPD_ACCESS_README.html#listsкоторый имеет
# Relay control (Postfix 2.10 and later): local clients and
# authenticated clients may specify any destination domain.
smtpd_relay_restrictions = permit_mynetworks,
permit_sasl_authenticated,
reject_unauth_destination
решение2
Посмотрите, исправит ли это правильная настройка relay_recipient_maps.
Я думаю, что это проблема...
Вы правы, устанавливая reject_unauth_destination, но сервер в основном не имеет явных инструкций о том, что такое "unauth destination" на самом деле. Если это не учетная запись или переадресация на вашей машине, она не должна быть авторизована для ретрансляции, если только это не аутентификация sasl или разрешенная сетевая машина.
Спамеры отправляют поддельные сообщения на ваш компьютер, который не может доставить их на несуществующие аккаунты. Поскольку он не может определить, являются ли они "неавторизованными" назначениями, он пытается рассматривать их как законные ошибки SMTP, но не как неавторизованные, и, следовательно, отправляет ошибку обратно в "исходный" MTA (который либо подделан, либо неправильно настроен).
На правильно настроенном почтовом сервере отсрочки должны быть довольно необычными. Если вы чувствуете себя в безопасности, делая это, и уверены, что не удалите ничего легитимного, запустите , postsuper -d ALL deferredчтобы удалить всю отложенную почту в очереди. Если я прав, очередь не должна снова так заполняться. для