Как разделать почтовый сервер на два отдельных (антиспам и почта)?

Question

[Рома]

Добрый день, коллеги.

На данный момент мой почтовый сервер не справляется с нагрузкой. Поэтому хочу антиспам защиту вынести на отдельный сервер.

Что я хочу сделать / Как я вижу данную реализацию.
fw - файрвол, ему назначен внешний адрес (5.5.5.5, он же mx для внешних отправителей).
srv1 - антиспам - postfix, rspamd (адрес 10.1.1.1).
srv2 - почтовик - postfix, dovecot, web-морда, БД (адрес 10.1.1.2, он же mx для локальных пользователей).
IMAP, POP3, HTTP трафик идет напрямую на srv2.

Входящая из-вне почта попадает на srv1, проверяется на спам и передается на srv2 (10.1.1.1 -> 10.1.1.2), где раскладывается в ящики пользователей.
Внутренние пользователи подключаются только к srv2 (10.1.1.2). Он отправляет почту во-вне, минуя srv1.


На srv2, как я понимаю, нужно mysql открыть на интерфейсе 10.1.1.2, чтобы srv1 мог проверять есть ли адрес-получателя и в virtual_mailbox_maps на srv1 указать хост БД как 10.1.1.1. Или есть другой способ?

А вот дальше запутался... Не совсем понимаю, как это настроить в postfix. Вроде нужно правильно настроить master.cf, но что именно? Как postfix'у сказать, что на srv1 почту, после проверки rspamd, нужно передать на srv2 ? Подскажите пожалуйста.

Может я и вовсе не правильный подход выбрал? Поясните, как правильнее сделать. Настроить все на одном сервере не проблема, но вот как правильно разделить, не знаю.

Answer 1

[CityCat4]

Идея правильная, нужно чтобы srv1 всю принятую почту пересылал на srv2, который и будет ее разбирать. Антиспам-антивирус пусть работает на srv1, ему знать наличие ящика не обязательно - он все равно шлет все дальше.

Comments

[Рома]

Т.е. мне в main.cf на srv1 не нужно настраивать virtual_alias_maps, virtual_mailbox_domains, virtual_mailbox_maps чтобы они заглядывали в БД на srv2 ? А только прописать на srv1 relayhost = srv2 и все?
А какое будет поведение, если придет письмо на несуществующий адрес? srv2 отправит прямиком (минуя srv1 конечно) отправителю отчет (mail daemon) ?
А такая настройка (relayhost = srv2) не сделает ли srv1 открытым релеем?

Еще я не могу понять, а как локальному пользователю (все пользователи virtual) из-вне отправлять письма? Ему же нужно авторизоваться. А как он авторизуется если srv1 ничего о ящиках не знает?

[Владимир]

да не обязательно но очень желательно - рассмотрим ситуации:
1) srv1 не знает какие ящики есть на srv2
спамер с поддельным адресом отправителя отправляет спам котоырй пролазит спам филтьтр(как пролазит ? например гдето есть вайтлисты для бугалтерии или еще чегото), srv1 его принял и пытается доставить в srv2, после неуспешной попытки генерируется баунс от srv1 на поддельный адрес отправителя - это опасность попасть в блеклисты.
2) srv1 знает какие ящики есть на srv2
спамер с поддельным адресом отправителя сразу получает ответ что мейлбокса нет и smtp сессия закрывается, никакой баунс с нашей стороны не отправляется.

[Рома]

Владимир, спасибо. Как и предполагал, настраивать это тоже нужно. Спасибо, стало понятно.

[CityCat4]

Рома, Я веду на srv1 черный список уволенных, которые отваливаются сразу, остальные проходят greylisting и блоклисты, антиспама как такового у меня нет, все письма (в том числе и на несуществующих) проходят на srv2. Srv1 в DMZ и ничего про ящики не знает - у него подход как у полена - если письмо прошло greylist и блоклисты и clamav - его принимаем.
На srv2 настройка всю почту на неизвестных юзеров принимать в отдельный ящик (чтобы избежать баунса, на который рассчитывают некоторые спамеры да и просто это "общение роботов" иногда затягивается), уволенных (если как-то проскочило) - туда же, нормальное письмо - по адресу. srv2 знает про ящики.
Проверять наличие адреса путем отправки "тестового письма" у меня бесполезно - я приму его всегда, но не всегда прочитаю :)

[Рома]

CityCat4, Спасибо! Правда мне такое не подходит, т.к. есть требование, что отправитель должен получить уведомление о недоставке, если ящика не существует. Так же грейлистинг нельзя использовать... Включил как-то, через некоторое время получил нагоняй из высоких кабинетов, ибо для них "5 минут" это очень долго и надо чтобы мгновенно (максимум минута). Поэтому же и антиспам приходится использовать вкупе с настройками постфикса для защиты от спама.
Как всегда, у всех свои заморочки )))
За описанный вариант спасибо! Может где-нибудь пригодится такая схема.

[CityCat4]

ибо для них "5 минут" это очень долго

Всегда удивляло, что люди считают канал связи, для которого задержки в пять суток по RFC - нормой - бизнес-инструментом :)

[Рома]

CityCat4, не говорите.

Answer 2

[Владимир]

1 тут либо ходить в базу либо делать recipient verification, ходить в базу проще и надежнее, если нужно убрать нагрузку с базы на srv2 то делаете mysql репликацию srv2 -> srv1
2 тут есть варианты - самый простой указать в main.cf relayhost = srv2, или делать транспорты, или делать отдельную таблицу в базе с relay domains

Подход нормальный.

Comments

[Рома]

1. Спасибо! Все понятно.
2. Если верно понял, вы про "relay_domains = srv.ru" ?
На счет транспорта... Если я правильно понимаю, нужно использовать transport_maps на srv1 и для него указать "srv.ru smtp:[10.1.1.2]:25". Да?
На сколько помню, transport_maps и relay_domains надо использовать вместе, т.к. первое говорит постфиксу как и куда пересылать, а второе для каких доменов.

На счет relayhost = srv2. Эта настройка говорит "всю почту пересылать на srv2", да? А открытым релеем srv1 не станет считаться?
Будет ли он работать, когда локальный пользователь (все пользователи virtual) будет из-вне отправлять письмо? Или на srv1 для этого нужно настроить virtual_alias_maps, virtual_mailbox_domains, virtual_mailbox_maps, чтобы они заглядывали в БД на srv2 ?

[Владимир]

по транспортам - там указывается домен и куда пересылать почту, и это нужно если у вас много доменов и пересылать их почту нужно на разные сервера. В вашем случае relayhost подходит больше.

по поводу relayhost
опенрелей принимает любую почту и отправлет ее куда угодно, и relayhost какраз заменяет кудаугодно на единственный указанный сервер, при этои relayhost на критерии от каких ип и для каких доменов принимать почту никак не влияет.

Теперь чтобы не принимать чужую почту:
на srv1 у вас вместо virtual_mailbox_domains будет relay_domains - чтобы srv1 знал какие домены он обслуживает и надлежит отправить серверу указанному в relayhost
вместо virtual_mailbox_maps будет - relay_recipient_maps точно также чтобы srv1 знал какие ящики существуют на srv2.
virtual_alias_maps - остается также, при поступлении почты на алиас, он его развернет, найдет ящики в relay_recipient_maps и отправит на srv2

Ну и после смены настроек пройти тест на опенрелей не лишнее - вдруг гдето ошиблись.

[Рома]

Владимир, спасибо большое!
Можно уточнить? Для опций relay_* указывать те же SQL настройки, что сейчас указаны для virtual_mailbox_*. Базу у меня делал PostfixAdmin, т.е. база стандартная для него. Для virtual_mailbox_maps у меня SQL запрос такой "query = SELECT maildir FROM mailbox WHERE username='%s' AND active='1'", т.е. для relay_recipient_maps мне этот же SQL запрос сделать?

[Владимир]

Вот прям точно не помню - нужно читать документацию

[Рома]

Владимир, Спасибо!
Пойду почитаю доки. Все равно про релеи никогда не читал, как-никак, а лишним точно не будет.

[Рома]

Владимир, , подскажите пожалуйста, что я делаю не так?..

На srv1 в main.cf сделал так:

relay_domains = srv2
relay_transport = hash:/etc/postfix/transport
transport_maps = hash:/etc/postfix/transport
smtp_generic_maps = hash:/etc/postfix/generic
relay_recipient_maps = hash:/etc/postfix/relay_recipients

Отправляю для теста письмо на заведомо не существующий у меня адрес с яндекса. В ответ получаю баунс и это письмо попадает в спам. Яндекс пишет (когда в поле От кликаешь по желтому замку):

Отправитель подтверждён. Однако письмо пришло с домена srv.ru, который не соответствует обратному адресу.

А в теле баунса (ip локальный):

: host mx.srv.ru[10.1.1.2] said: 550 5.1.1
: Recipient address rejected: User unknown (in
reply to RCPT TO command)

Но когда я сделал в main.cf так (закомментировал relay_domains и relay_recipient_maps и добавил virtual_alias_maps, virtual_mailbox_domains, virtual_mailbox_maps):

#relay_domains = srv2
relay_transport = hash:/etc/postfix/transport
transport_maps = hash:/etc/postfix/transport
smtp_generic_maps = hash:/etc/postfix/generic
#relay_recipient_maps = hash:/etc/postfix/relay_recipients

virtual_alias_maps = mysql:/etc/postfix/mysql/virtual_alias_maps.cf,
  mysql:/etc/postfix/mysql/virtual_alias_domain_maps.cf
virtual_mailbox_domains = mysql:/etc/postfix/mysql/virtual_mailbox_domains.cf
virtual_mailbox_maps = mysql:/etc/postfix/mysql/virtual_mailbox_maps.cf

То яндекс перестал класть баунс в спам и в теле письмо уже так написано (ip внешний):

: host mx.srv.ru[5.5.5.5] said: 550 5.1.1
: Recipient address rejected: User unknown (in
reply to RCPT TO command)

Если указываю в main.cf и relay_domains и virtual_mailbox_domains, то в логах постфикса ворнинг:
warning: do not list domain srv.ru in BOTH virtual_mailbox_domains and relay_domains

На существующие адреса почта нормально доходит в обоих вариантах настройки.

В virtual_mailbox_domains такой запрос:

query = SELECT domain FROM domain WHERE domain='%s' and backupmx='0' and active='1'

В таблице domain такая запись:

`domain`, `description`, `aliases`, `mailboxes`, `maxquota`, `quota`, `transport`, `backupmx`, `created`, `modified`, `active`
'srv.ru', 'Тестовый домен', 0, 0, 0, 0, 'virtual', 0, '2020-09-22 09:44:52', '2020-09-22 09:44:52', 1

Что аналогично настройке (не ошибаюсь?):

virtual_transport = virtual
virtual_mailbox_domains = srv.ru

В чем может быть дело?
Если я оставлю virtual_mailbox_domains, вместо relay_domains не возникнет ли в будущем проблем? Или такой вариант категорически не правильный?