Kategorie: Postfix & Co.

Subnetze und IP Adressen extrahieren aus SPF Records (z.B. Office365 oder Google Apps for Business)

Wenn man bei Office365 oder Google Apps for Business einen eigenen Mailserver (Postfix) vorschalten möchte beim versenden/empfangen muss man die Mailserver von Microsoft/Google Whitelisten in den mynetworks bei Postfix. Das Script löst alle SPF Record includes auf und generiert CIDR Maps die sich in Postfix einbinden lassen. Beispiel: max@dev1:~$ python […]

Weiterlesen

Postfix: Mail-Relay mit SMTP-Auth via Submission/TLS für ausgehende Mails

Ein Server soll als Relayhost (oder in der Windowswelt auch Smarthost gennant) dienen. Wer keine feste IP Adresse mit passenden DNS Reverse Eintrag hat wird schlechte Chancen haben das ein richtig konfigurierter Mailserver die Mails annehmen wird. Die Lösung ist die Mails an einen anderen Relayhost oder Mailserver zu schicken […]

Weiterlesen

Postfix als Frontend für einen Microsoft Exchange Server

Für einen Kunden habe ich einen Postfix eingerichtet als Frontend Server für seine Exchange Infrastruktur. Die Mailadressen werden automatisch aus dem Active Directory ausgelesen und in einem Hash-File gespeichert. Vorteil ist das der Postfix so nur gültige Mailaliases zulässt. Der Frontend macht auch noch weitere Überprüfungen. (postgrey, policy-weight, etc.) Folgendes […]

Weiterlesen

Weniger Spam & Phishing durch Sanesecurity & MSRBL-SPAM für ClamAV

Trotz Amavis & Spamassassin und sehr restriktiver Regeln im Postfix kommen immernoch viele Phishing und Bilder/PDF Spams durch. Ich habe nach einer bequemen Lösung gesucht und bin auf Sanesecurity und MSRBL-SPAM gestoßen. Beide bieten Signaturenfiles für ClamAV an die Spams & Phishings erkennen können. Auf der Webseite von Sanesecurity werden […]

Weiterlesen

ClamAV mit Sanesecurity erweitern

Benötigte Tools installieren sudo apt-get install rsync wget gunzip Verzeichnis anlegen mkdir -p /root/sanesecurity Script erstellen nano /root/sanesecurity/get_sane Script: cd /root/sanesecurity wget http://www.sanesecurity.co.uk/clamav/scamsigs/scam.ndb.gz wget http://www.sanesecurity.co.uk/clamav/phishsigs/phish.ndb.gz rsync rsync://rsync.mirror.msrbl.com/msrbl/MSRBL-Images.hdb /root/sanesecurity/MSRBL-Images.hdb rsync rsync://rsync.mirror.msrbl.com/msrbl/MSRBL-SPAM.ndb /root/sanesecurity/MSRBL-SPAM.ndb gunzip -f scam.ndb.gz gunzip -f phish.ndb.gz cp -f scam.ndb /var/lib/clamav cp -f phish.ndb /var/lib/clamav cp -f MSRBL-Images.hdb /var/lib/clamav cp […]

Weiterlesen

Spamtrap / Blackhole Adresse unter Postfix einrichten

Eine E-Mail Adresse einrichten die Richtung “/dev/null“ geht. main.cf check_recipient_access hash:/etc/postfix/spam_trap sollte hinter reject_unauth_destination kommen. Die Konfig für smtpd_recipient_restrictions ist nur exemplarisch. smtpd_recipient_restrictions = reject_non_fqdn_recipient reject_non_fqdn_sender reject_unknown_sender_domain reject_unknown_recipient_domain permit_mynetworks permit_sasl_authenticated reject_unauth_destination check_recipient_access hash:/etc/postfix/spam_trap reject_multi_recipient_bounce /etc/postfix/spam_trap Inhalt der Datei: devnull@thoma.cc DISCARD Diese Datei muss noch ins Postmap Format konvertiert werden. Hierzu […]

Weiterlesen

Postgrey installieren (Debian Etch)

Installation sudo apt-get install postgrey Service checken mxadm@server:/# netstat -tulpen | grep 60000 tcp 0 0 127.0.0.1:60000 0.0.0.0:* LISTEN 0 23135 7884/postgrey Wenn der Service noch nicht läuft mit /etc/init.d/postgrey start starten. In Postfix einbinden main.cf: smtpd_recipient_restrictions = permit_mynetworks permit_sasl_authenticated reject_unauth_destination … check_policy_service inet:127.0.0.1:60000 … Postfix reload postfix reload

Weiterlesen

Policyd-weight installieren (Debian Etch)

Installation sudo apt-get install policyd-weight Service checken mxadm@server:/# netstat -tulpen | grep policyd-weight tcp 0 0 127.0.0.1:12525 0.0.0.0:* LISTEN 0 23134 7883/policyd-weight Wenn der Service noch nicht laufen sollte dann mit /etc/init.d/policyd-weight start starten. Einbinden in Postfix für bestimmte User / Domains main.cf: smtpd_restriction_classes = check_policyd_weight check_policyd_weight = check_policy_service inet:127.0.0.1:12525 […]

Weiterlesen

POP3/IMAP Proxy Perdition mit MySQL backend

Perdition ist ein POP3/IMAP Proxy (SSL fähig) der zu mehreren Backend Servern (POP3 und IMAP) sich Verbinden kann. Die Entscheidung zu welchem Server er weiterverbinden soll erfolgt durch eine Tabelle. Perdition unterstützt mehrere Tabellenformate. Ich verwende MySQL. Installation apt-get install perdition perdition-mysql Konfiguration /etc/default/perdition: ###################################################################### # /etc/sysconfig/perdition (RPM based systems) […]

Weiterlesen

Verhindern von Bruteforce Attaken auf Postfix SASL, Courier-IMAP und SSH

Hinweis Dieses Howto wurde für Debian Etch geschrieben. Installation apt-get install fail2ban Konfiguration anpassen /etc/fail2ban/jail.local [DEFAULT] # „ignoreip“ can be an IP address, a CIDR mask or a DNS host ignoreip = 127.0.0.1 bantime = 600 maxretry = 3 # „backend“ specifies the backend used to get files modification. Available […]

Weiterlesen