Debian + Postfix: spam voorkomen

Naxiz schreef op woensdag 24 juli 2013 @ 19:46:
Ik heb op mijn VPS Postfix geïnstalleerd. Dit omdat ik thuis een mailserver heb, maar Ziggo heeft poort 25 dicht zitten.

Alles werkt prima, maar via MXTOOLBOX kwam ik erachter dat mijn IP op 2 spam lists stond. Ik heb contact opgenomen met deze lists en mijn IP is verwijderd, maar de spam kwam toch echt van mij en niet van een eerdere gebruiker van dit IP.

Ik heb Postfix vandaag geconfigureerd, maar de spam is een paar dagen terug al verstuurd. Waarschijnlijk was ik toen nog aan het experimenteren en ben ik op vakantie gegaan.

Nu heb ik gewoon Postfix geïnstalleerd, poort 25 dicht, poort 587 open, en mijn IP van thuis toegevoegd aan mynetworks. Mail versturen vanaf thuis werkt nu, vanaf een ander IP krijg ik de melding 454 4.7.1 <email>: Relay access denied, zoals ik het wil.

Mijn vraag is: is dit veilig genoeg? Kunnen spammers nu niet spam versturen via poort 587 van mijn VPS? Dat er nog steeds spam verstuurd kan worden d.m.v. virussen of gekraakte wachtwoorden snap ik.

Een certificaat wordt wat ingewikkelder, maar hier zijn vast wel tutorials voor. Zou een vereiste login met pop-before-smtp ook goed genoeg zijn?

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51

# SASL Authentication
smtpd_sasl_auth_enable = yes
smtpd_sasl_exceptions_networks = $mynetworks
smtpd_sasl_security_options = noanonymous
broken_sasl_auth_clients = yes
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth

# Waste spammers time before rejecting them
smtpd_delay_reject = yes
# Block mail adress harvesting attempts
disable_vrfy_command = yes

# Reject known spammers
smtpd_client_restrictions =
        reject_rbl_client sbl.spamhaus.org,
        reject_rbl_client xbl.spamhaus.org

# Require proper helo at connections
smtpd_helo_required = yes
smtpd_helo_restrictions =
        permit_mynetworks,
        permit_sasl_authenticated,
        reject_non_fqdn_helo_hostname,
        reject_invalid_helo_hostname,
        reject_rhsbl_helo dbl.spamhaus.org

# Reject malformed from: adresses
smtpd_sender_restrictions =
        permit_mynetworks,
        permit_sasl_authenticated,
        reject_non_fqdn_sender,
        reject_rhsbl_sender dbl.spamhaus.org

smtpd_relay_restrictions =
        reject_non_fqdn_recipient,
        reject_unknown_recipient_domain,
        permit_mynetworks,
        permit_sasl_authenticated,
        check_recipient_access pcre:/etc/postfix/dspam_check_aliases,
        check_sender_access pcre:/etc/postfix/dspam_check_aliases,
        # Reject mail when this server is not the final destination (don't be an open relay!)
        reject_unauth_destination,
        # Reject mail when the recipient doesn't exist on this server
        reject_unlisted_recipient,
        # Relay messages to Postgrey
        # check_policy_service inet:127.0.0.1:10023,
        # Relay messages to DSPAM
        check_client_access pcre:/etc/postfix/dspam_filter_access

smtpd_data_restrictions = reject_unauth_pipelining

[ Voor 46% gewijzigd door Compizfox op 24-07-2013 20:35 ]

Naxiz schreef op woensdag 24 juli 2013 @ 20:17:

Zou een vereiste login met pop-before-smtp ook goed genoeg zijn?

Hero of Time schreef op woensdag 24 juli 2013 @ 19:56:
IP spoofing en ze kunnen zo spammen. Als je 't secure doet via 587, maak dan ook een certificaat aan om te authenticeren.

Glashelder schreef op donderdag 25 juli 2013 @ 12:04:
[...]

TCP handshake? Moeten ze ook zijn thuis IP platgooien en 't lijkt me toch sterk dat iemand die moeite gaat nemen om wat spam mailtjes te sturen..terwijl er genoeg open relays te vinden zijn op internet.

Compizfox schreef op donderdag 25 juli 2013 @ 13:21:
Dat is niet waar, poort 587 is voor mail submission (MSA) en onafhankelijk of je wel of niet SSL/TLS gebruikt. Het verschil tussen poort 25 en 587 is dat port 25 gebruikt wordt voor communicatie tussen 2 MTA's, terwijl 587 is om mail te versturen vanaf een MUA naar een MTA.
Lees dit maar eens: Wikipedia: Mail submission agent

Port 456 is de poort die gebruikt wordt voor SMTPS, SMTP over een SSL-tunnel dus. STARTTLS behoeft geen aparte poort en gaat dus gewoon over 587 of 25.