Postfix 和未知客户端的访问限制

Question 1

Postfix 提供了几种“检查”，可以在传入 SMTP 连接的不同“阶段”进行评估。“检查”类似于“远程客户端是否经过 SASL 认证？”，“远程客户端是否提供了 FQDN HELO 主机名？”，“远程客户端是否要求 SMTP 流水线？“，也 ”远程客户端是否在某些 RBL 中被列入黑名单？“ 或者 ”远程客户端是否从我的某个 IP 子网连接”吗？

可以在 SMTP 事务的不同阶段评估此类检查：

一旦建立 TCP 连接（smtpd_客户端限制）
当客户端发出“MAIL FROM”命令时（smtpd_sender_restrictions）
当客户端发送“RCPT TO”命令时（smtpd_recipient_restrictions）

以及其他阶段。

上述限制/指令可以按照以下示例进行组合（请注意“...限制按指定顺序应用；第一个匹配的限制获胜”）：

smtpd_client_restrictions = 
    permit_sasl_authenticated
    check_client_access hash:/etc/postfix/access 
    check_policy_service inet:127.0.0.1:4466
    warn_if_reject reject_unknown_reverse_client_hostname
    reject_non_fqdn_helo_hostname
    reject_unauth_pipelining 
    reject_invalid_helo_hostname 
    reject_rbl_client bl.spamcop.net 

smtpd_sender_restrictions = 
    reject_non_fqdn_sender,
    reject_unknown_sender_domain,
    check_sender_access hash:/etc/postfix/sender_access

smtpd_recipient_restrictions = 
    check_policy_service inet:127.0.0.1:10045,
    permit_sasl_authenticated,
    reject_invalid_helo_hostname,
    reject_non_fqdn_recipient,
    reject_unknown_recipient_domain,
    check_recipient_access hash:/etc/postfix/access_recipient
    permit_mynetworks,
    warn_if_reject reject_unverified_recipient,
    reject_unauth_destination,
    check_policy_service inet:127.0.0.1:2501`

为了正确记录可能不为人知的有用信息，“smtpd_客户端限制”(或其他) 上下文中，参数“smtpd_delay_reject=yes”可能会很有用，因为它会延迟“拒绝时间”，从而收集其他信息（例如，收件人非常有用，可以正确解决最终用户抱怨丢失收到的邮件的问题）。

Postfix 是一个非常复杂的系统，因此非常灵活且功能强大。您可以在官方网页上找到大量信息（例如：http://www.postfix.org/postconf.5.html），顺便说一下，它还包括一些有用的配置，可以作为你自己设置的起点（http://www.postfix.org/STANDARD_CONFIGURATION_README.html）

附言：请“友善”地回答这个问题...这是我在 ServerFault/StackExchange 领域发表的第一篇帖子 ;-)

Answer

Postfix 提供了几种“检查”，可以在传入 SMTP 连接的不同“阶段”进行评估。“检查”类似于“远程客户端是否经过 SASL 认证？”，“远程客户端是否提供了 FQDN HELO 主机名？”，“远程客户端是否要求 SMTP 流水线？“，也 ”远程客户端是否在某些 RBL 中被列入黑名单？“ 或者 ”远程客户端是否从我的某个 IP 子网连接”吗？