Как в Postfix-e заблокировать прием с определенного домена?

Question

[Михаил]

Привет камрады!
Есть вопрос, в принципе описан в заголовке но здесь разверну чуток подробнее
Повадился один гаденыш рассылать на рабочий адрес свои предложения о продвижении сайта, в стиле начала 2000х, я думал что такие мамонты вымерли, но нет, этот некрофил воскрес.
Причем 1 раз мы его с его хостером наглухо заблокировали, теперь он перешел к другому - nuxt.cloud, такие же мерзоты, писал им на почту - никакой реакции.
Что собственно хочу от вас - как заблокировать этого мерзавца что бы его послания даже в спам не попадали?
info@s8.aporolo.ru - вот его типичные адреса, а вот поддомены он постоянно меняет s8.aporolo.ru, s1,s2s3 etc
Спасибо

Answer 1

[Rsa97]

Создать файл со списком доменов/IP /etc/postfix/my_blacklist
.aporolo.ru REJECT

Хэшировать этот файл
postmap /etc/postfix/my_blacklist

Добавить в /etc/postfix/main.cf после reject_unauth_destination

smtpd_client_restrictions =
    ...
    reject_unauth_destination,
    check_client_access hash:/etc/postfix/my_blacklist,
    ...

При изменении списка сайтов перехэшировать файл.

Comments

[Михаил]

У меня в конфиге нет такой строки даже, как ее правильно прописать?

Добавить в /etc/postfix/main.cf после reject_unauth_destination

так верно будет?

smtpd_data_restrictions=reject_unauth_destination
smtpd_client_restrictions =
        reject_unauth_destination,
        check_client_access hash:/etc/postfix/my_blacklist,  <<<<--- ЗАПЯТАЯ ОБЯЗАТЕЛЬНА???

[Rsa97]

Михаил, Если параметр ещё не задан, то примерно так:

smtpd_recipient_restrictions =
    permit_mynetworks
    permit_sasl_authenticated
    reject_non_fqdn_recipient
    reject_unauth_destination
    check_client_access hash:/etc/postfix/my_blacklist,
    permit

[Михаил]

Rsa97,
У меня конфиг наверное не совсем по феншую :)
все в одной строчке, можно в конце записать ваши директивы?

[Михаил]

Rsa97,

привел конфиг в такой вид, и ребутнул постфикс, он вроде не ругнулся

[Rsa97]

Михаил, Можно и в одну строчку, некритично

[Михаил]

Rsa97, судя по письму с уведомлением с хабра - почтовик работает :)
Спасибо за помощь и уделенное мне время!

[Михаил]

Кажется есть недоработка, а именно
1. почтовик настроен на основной домен mysite.ru
2. помимо он обслуживает почту my2site.ru
вот блокировка как мне советовали выше работает только на mysite.ru а прочие домены эта настройка не затронула.
Может надо на каждый виртуальный домен такие блокировки вносить?
Почтовик работает на софте от https://mailinabox.email/

Answer 2

[Сергей Сахаров]

А его домены айпи в имена разрешаются?

не рекомендуется, конечно, но...
reject_non_fqdn_sender

правда, при этом и половина легитимных отправителей могут отвалиться - придётся их почтовые серверы в белый список добавлять

Comments

[Михаил]

А его домены айпи в имена разрешаются?

Без понятия если честно, выше камрады дали советы дельные, и они работают :)

[Сергей Сахаров]

Михаил, это понятно. Просто эта опция позволяет разрешать ip в fqdn-имя хоста и если оно не совпадает с заявленным - давать отправителю отлуп. Это нормальная практика... объявленная порочной - просто потому что многие вполне легитимные почтовые сервера имеют имя, не совпадающее с fqdn - просто потому что их администраторы поленились настроить почтовый сервер правильно.

Суть простая:
1. В DNS домена объявляется почтовый сервер домена - запись mx
2. ip-адрес почтового сервера должен разрешаться в имя
3. это имя должно совпадать с заявленной в DNS mx-записью.
(особо отмечу, что один почтовый сервер может обслуживать несколько доменов и ему вовсе не обязательно принадлежать домену отправителя)

Нарушение этого правила означает, что любой отправитель даже на домашнем компе может настроить почтовый сервер и отправлять почту от имени mail.ru или gmail.com - и другие получатели воспримут такую почту как легитимную, если не проверяют fqdn.

Хотя с появлением tls и ssl может быть это и лишняя мера предосторожности.

[Михаил]

Сергей Сахаров, у этого гаденыша все совпадает....

[Сергей Сахаров]

Михаил, тогда можно написать жалобу, чтобы отправителя добавили в ЧС DNSBL

[Михаил]

Сергей Сахаров, да ну... на каждого упыря время свое драгоценное тратить :))
пока заблокировал его по UFW его IP - посмотрим, поможет ли..

[Сергей Сахаров]

Михаил, а может он уже там? Ты проверку по DNSBL прикрути...

[Михаил]

Сергей Сахаров, он уже там судя по заголовкам почтовика, проблема в том что, если бы от него 1 письмо в неделю падало хрен бы с ним, но от него *ука приходят по 10 в сутки! вот это меня бесит. И его хостер упыри те еще - даже на abuse не реагируют...

[Сергей Сахаров]

Михаил, блочь по заголовкам - например, по IP-адресу отправителя.
Пусть ему сервер отвечает типа "нет такого адреса"...

[Михаил]

во по IP по UFW и забанил, до момента пока он его не сменит, а меняет он их каждые несколько дней

[Сергей Сахаров]

Михаил, извини, имел в виду "по почтовому адресу отправителя".
Или его он тоже меняет?

[Михаил]

Сергей Сахаров, пок не замечал, но посылает с адресов типа infо@s1.sitename, info@s8.sitename и тп

[Сергей Сахаров]

Михаил, а тема и содержание писем? Может по ключевым словам резать?
... поищи, кстати, можно ли эти письма редиректить самому отправителю.
Сам отправляет - пусть сам их и читает...

[Михаил]

Сергей Сахаров, этот упырь не первый день плавает - в самом начале сразу пишет что связь через скайп и прочие мессенджеры :)) и типа на почту не писать все равно не читаю.... вот прилетит письмо от него я вам выложу полную инфу по заголовкам, может я что то и упустил..

[Сергей Сахаров]

Михаил, а какая разница, читает он её или нет? Его сервер доступен по порту 25 или 465? Вот ему и отправить...

Answer 3

[Михаил]

Апну тему - к сожалению сейчас вот получил письмо с того же домена, похоже что то не так работает или я не так сделал... Куда копнуть?

Comments

[AUser0]

Смотрите заголовки письма, оно действительно с указанного домена?
Или домен вписан только в поле "From:", а источником является сооооовсем другой адрес?

[Михаил]

AUser0, все совпадает, только с прошлого моего поста сменился IP адрес и сайта и почтовика
пока поставил бок на его IP но как только он его поменяет то письма опять повалят.
Не могу понять - почему не работает конструкция написанная камрадами выше??

[AUser0]

Михаил, ответ, который вы сделали решением вроде и правильный, но не совсем. Фильтр check_client_restrictions фильтрует внешние сервера (как правило по IP), кому можно-нельзя подключаться к вашему серверу для передачи сообщений. Фильтровать по адресу отправителя лучше через специально нацеленный на отправителя фильтр check_sender_restrictions и его параметр check_sender_access, всё по аналогии:

smtpd_sender_restrictions =
    check_sender_access hash:/etc/postfix/my_blacklist,
    reject_non_fqdn_sender,
    reject_unknown_sender_domain,
    reject_authenticated_sender_login_mismatch,
    reject_rhsbl_sender dbl.spamhaus.org=127.0.1.[2..99]

[Михаил]

AUser0,

Вот мой конфиг, вроде ничего криминального

spoiler

# See /usr/share/postfix/main.cf.dist for a commented, more complete version

# Debian specific: Specifying a file name will cause the first
# line of that file to be used as the name. The Debian default
# is /etc/mailname.
#myorigin = /etc/mailname

#smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu)
smtpd_banner=$myhostname ESMTP Hi, I'm a Mail-in-a-Box (Ubuntu/Postfix; see https://mailinabox.email/)
biff = no

# appending .domain is the MUA's job.
append_dot_mydomain = no

# Uncomment the next line to generate "delayed mail" warnings
#delay_warning_time = 4h
delay_warning_time=3h

readme_directory = no

# See www.postfix.org/COMPATIBILITY_README.html -- default to 3.6 on
# fresh installs.
compatibility_level = 3.6

# TLS parameters
#smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_cert_file=/home/user-data/ssl/ssl_certificate.pem
#smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
smtpd_tls_key_file=/home/user-data/ssl/ssl_private_key.pem
smtpd_tls_security_level=may

smtp_tls_CApath=/etc/ssl/certs
#smtp_tls_security_level=may
smtp_tls_security_level=dane
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache

#smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination
smtpd_relay_restrictions=permit_sasl_authenticated,permit_mynetworks,reject_unauth_destination
myhostname = mail.MYSITE.ru
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = /etc/mailname
#mydestination = $myhostname, mail.MYSITE.ru, localhost.MYSITE.ru, , localhost
mydestination=localhost
relayhost =
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all
inet_protocols = all
smtp_bind_address=192.168.1.31
smtp_bind_address6=fe80::ecaf:90ff:fe81:b9f0%ens18
maximal_queue_lifetime=2d
bounce_queue_lifetime=1d
smtpd_tls_auth_only=yes
smtpd_tls_dh1024_param_file=/home/user-data/ssl/dh2048.pem
#smtpd_tls_protocols=!SSLv2,!SSLv3
smtpd_tls_protocols=!SSLv2,!SSLv3
smtpd_tls_ciphers=medium
tls_medium_cipherlist=ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-P>
smtpd_tls_exclude_ciphers=aNULL,RC4
tls_preempt_cipherlist=no
smtpd_tls_received_header=yes
# это комент мой
# smtpd_tls_mandatory_protocols=!SSLv2,!SSLv3
smtpd_tls_mandatory_protocols=!SSLv2,!SSLv3,!TLSv1,!TLSv1.1
#smtp_tls_mandatory_protocols=!SSLv2,!SSLv3
smtp_tls_mandatory_protocols=!SSLv2,!SSLv3,!TLSv1,!TLSv1.1
smtpd_tls_mandatory_ciphers=high
#smtpd_tls_mandatory_protocols=!SSLv2,!SSLv3
tls_high_cipherlist=ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POL>
smtpd_tls_mandatory_exclude_ciphers=aNULL,DES,3DES,MD5,DES+MD5,RC4
smtp_tls_protocols=!SSLv2,!SSLv3
smtp_tls_ciphers=medium
smtp_tls_exclude_ciphers=aNULL,RC4
smtp_dns_support_level=dnssec
smtp_tls_mandatory_ciphers=high
smtp_tls_CAfile=/etc/ssl/certs/ca-certificates.crt
smtp_tls_loglevel=2
virtual_transport=lmtp:[127.0.0.1]:10025
#smtpd_sender_restrictions=reject_non_fqdn_sender,reject_unknown_sender_domain,reject_authenticated_sender_login_mismatch,reject_rhsbl_sender dbl.spamhaus.org
smtpd_sender_restrictions=reject_non_fqdn_sender,reject_unknown_sender_domain,reject_authenticated_sender_login_mismatch,reject_rhsbl_sender dbl.spamhaus.org=127.0.1.[2..99]
#smtpd_recipient_restrictions=permit_sasl_authenticated,permit_mynetworks,reject_rbl_client zen.spamhaus.org,reject_unlisted_recipient,check_policy_service inet:127.0.0.1:10023
smtpd_recipient_restrictions =
permit_sasl_authenticated
permit_mynetworks
reject_rbl_client zen.spamhaus.org=127.0.0.[2..11]
reject_unlisted_recipient
# reject_rhsbl_helo dbl.spamhaus.org,
# reject_rhsbl_reverse_client dbl.spamhaus.org
# reject_rhsbl_sender dbl.spamhaus.org
# reject_rbl_client zen.spamhaus.org
check_policy_service inet:127.0.0.1:10023
reject_unauth_destination
check_client_access hash:/etc/postfix/my_blacklist
permit
message_size_limit=134217728
smtpd_sasl_type=dovecot
smtpd_sasl_path=private/auth
smtpd_sasl_auth_enable=no
smtpd_sender_login_maps=sqlite:/etc/postfix/sender-login-maps.cf
smtputf8_enable=no
virtual_mailbox_domains=sqlite:/etc/postfix/virtual-mailbox-domains.cf
virtual_mailbox_maps=sqlite:/etc/postfix/virtual-mailbox-maps.cf
virtual_alias_maps=sqlite:/etc/postfix/virtual-alias-maps.cf
local_recipient_maps=$virtual_mailbox_maps
smtpd_milters=inet:127.0.0.1:8891 inet:127.0.0.1:8893
non_smtpd_milters=$smtpd_milters
milter_default_action=accept
#smtpd_data_restrictions=reject_unauth_pipelining
smtpd_forbid_bare_newline=normalize

[AUser0]

Михаил, угу.