Konfigurasi Postfix: antispam berbasis UCE

Postfix memiliki beberapa setting keamanan untuk mencegah spam-spam yang beredar di jaringan tanpa perlu menggunakan software antispam yang memakan resource dan membuat komplikasi konfigurasi yang memusingkan para admin.

Ini adalah sebagian jeroan dari /etc/postfix/main.cf

Secara berurutan, pengecekan aturan dari postfix akan mengikuti

1. Setting-setting penting

smtpd_error_sleep_time = 1s
local_destination_concurrency_limit = 8
default_destination_concurrency_limit = 16
in_flow_delay = 1s
disable_vrfy_command = yes
show_user_unknown_table_name = no
allow_untrusted_routing = no
smtpd_etrn_restrictions =
reject
smtpd_helo_required = yes

Update 1 22Jan2009:

smtpd_delay_reject = yes

2. Aturan Recipient Restrictions (paling pertama dibaca)

smtpd_recipient_restrictions =
#---membuang sebagian besar spambot
reject_unauth_pipelining,
#---membuang nama domain tidak sesuai ketentuan
reject_non_fqdn_sender,
reject_non_fqdn_recipient,
reject_unknown_sender_domain,
reject_unknown_recipient_domain,
#---mengizinkan network dalam NAT/terotentikasi SASL
permit_mynetworks,
permit_sasl_authenticated,
#---menolak akun yang tidak terdaftar
reject_unverified_recipient,
reject_unverified_sender,
reject_invalid_hostname,
#---mecegah spam-bouncing
reject_multi_recipient_bounce,
#---agar tidak menjadi open relay
reject_unauth_destination,
#---manual blacklisting
check_sender_access hash:/etc/postfix/sender_access,
#---mengecek keterpercayaan sebuah domain pengirim email
reject_rbl_client sbl-xbl.spamhaus.org,
reject_rbl_client zen.spamhaus.org,
reject_rbl_client list.dsbl.org,
reject_rbl_client multihop.dsbl.org,
reject_rbl_client cbl.abuseat.org,
reject_rbl_client bl.spamcop.net,
reject_rbl_client relays.ordb.org,
reject_rbl_client blackholes.easynet.nl,
reject_rbl_client proxies.blackholes.wirehub.net,
reject_rbl_client opm.blitzed.org,
reject_rbl_client dnsbl.njabl.org,
permit

3. Helo Restrictions

smtpd_helo_restrictions =
permit_mynetworks,
reject_non_fqdn_hostname,
reject_invalid_hostname,
reject_unauth_destination,
#---manual blacklisting
check_helo_access hash:/etc/postfix/helo_access,
permit

4. Backscattering spam

Manual blacklisting diperlukan untuk mencegah helo akses yang seakan-akan dari dirinya sendiri, jadi isi dari /etc/postfix/helo_access adalah

ip_mail_server REJECT
mail_server.domain.anda REJECT

Setelah itu, gunakan postmap /etc/postfix/helo_access untuk membuat database(hash) yang mampu dibaca oleh postfix.

5. Sender Restrictions

smtpd_sender_restrictions =
reject_unauth_pipelining,
permit_mynetworks,
reject_unauth_destination,
#---manual blacklisting
check_sender_access hash:/etc/postfix/sender_access,
reject_rhsbl_sender dsn.rfc-ignorant.org,
permit

6. Aturan tambahan/manual (file: sender_access)

Manual blacklisting diperlukan untuk mencegah request yang berasal dari mail server-mail server lain yang kurang strict dalam rules-nya. Jadi isi dari /etc/postfix/sender_access adalah

ip_mail_server_lain REJECT
mail_server.domain_suka_nyepam.domain REJECT
dst

Setelah itu, gunakan postmap /etc/postfix/sender_access untuk membuat database(hash) yang mampu dibaca oleh postfix.

Informasi lebih lanjut:
a. Filtering Spam with Postfix
b. Postfix Configuration and Administration