Blacklist controle in Postfix

Spammers maken vaak gebruik van specifieke trucs om spam te sturen, zoals domeinnamen die niet kunnen bestaan, vaste IP's waarvandaan spam verstuurd wordt, etc. In dit artikel laten wij zien hoe je Postfix controles laat uitvoeren op veel gebruikte spamtechnieken en van black-en whitelists gebruik maakt. Je hebt hierbij keuze uit publieke blacklists, of handmatig een eigen black- of whitelist te maken.

Bij een openbare blacklist controle wordt het IP-adres van de verzender gecontroleerd tegenover de blacklist. Bij een  handmatige blacklist kan de blacklist op basis van IP-adres of domein worden ingesteld. Staat een zender op de blacklist, dan worden die mails met de stappen in dit artikel tegengehouden.

Publieke blacklists & geavanceerde spam controle

Stap 1

Verbind met je VPS via SSH of de VPS-console in het TransIP-controlepaneel.

Stap 2

Open de configuratie van Postfix:

nano /etc/postfix/main.cf

Stap 3

Zoek op 'smtpd_recipient_restrictions' (met ctrl shift _ gevolgd door v). Pas de code aan zodat die er uit ziet zoals in het voorbeeld hieronder.

smtpd_recipient_restrictions = 
    permit_mynetworks,
    reject_rhsbl_helo dbl.spamhaus.org,
    reject_rhsbl_sender dbl.spamhaus.org,
    reject_rbl_client zen.spamhaus.org,
    reject_rbl_client bl.spamcop.net

Toelichting

• reject_rhsbl_helo: Postfix controleert of de client of hostname HELO bij Spamhaus is geblacklist.
   
• reject_rhsbl_sender: Postfix weigert e-mail als het MAIL FROM domein bij Spamhaus is geblacklist.
   
• reject_rbl_client: Controleert of het IP-adres van de client bij Spamhaus of Spamcop geblacklist is.

Als aan een van bovenstaande voorwaarden wordt voldaan, wordt de e-mail geblokkeerd.

Optioneel kun je dit uitbreiden met de volgende regels, zie de onderstaande toelichting.

smtpd_recipient_restrictions = 
    permit_mynetworks,
    reject_rhsbl_helo dbl.spamhaus.org,
    reject_rhsbl_sender dbl.spamhaus.org,
    reject_rbl_client zen.spamhaus.org,
    reject_rbl_client bl.spamcop.net,
    reject_unauth_pipelining,
    reject_non_fqdn_recipient,
    reject_unknown_recipient_domain

Toelichting

• reject_unauth_pipelining: Postfix ondersteunt een techniek die bekend staat als pipelining en die de massale bezorging van e-mail versnelt door meerdere smtp-opdrachten tegelijk te verzenden. Het protocol vereist dat clients eerst controleren of de server pipelining ondersteunt. Veel spammers verzenden een reeks opdrachten zonder te wachten op autorisatie, om hun berichten zo snel mogelijk af te leveren. reject_unauth_pipelining blokkeert e-mail van bulkmailsoftware die ten onrechte gebruik maakt van pipelining om leveringen te versnellen.
   
• reject_non_fqdn_recipient: Controleert of het mailadres wel een domeinnaam bevat (bijvoorbeeld mail@voorbeeld ipv mail@voorbeeld.nl). Zo niet, dan wordt de mail geweigerd.
   
• reject_unknown_recipient_domain: Wordt er een mail gestuurd naar een domein waar je geen mail voor verwerkt op jouw server, dan wordt die mail geweigerd.

Sla hierna je wijzigingen op en sluit het bestand (ctrl + x > y > enter).

Stap 4

Herstart tot slot Postfix om de wijzigingen te verwerken:

systemctl restart postfix

Inkomende mail wordt nu automatisch gescand om te controleren of de verzender in een blacklist staat.

Handmatige blacklist / whitelist

Stap 1

Verbind met je VPS via SSH of de VPS-console in het TransIP-controlepaneel.

Stap 2

Open de configuratie van Postfix:

nano /etc/postfix/main.cf

Stap 3

Zoek op 'smtpd_recipient_restrictions' (met ctrl shift _ gevolgd door v) en voeg de volgende regel toe:

check_sender_access
      hash:/etc/postfix/sender_access,

Als je de eerdere stappen in dit artikel hebt doorlopen zien de smtp_recipient_restrictions er nu als volgt uit:

smtpd_recipient_restrictions =
    permit_mynetworks,
    check_sender_access
          hash:/etc/postfix/sender_access,
    reject_rhsbl_helo dbl.spamhaus.org,
    reject_rhsbl_sender dbl.spamhaus.org,
    reject_rbl_client zen.spamhaus.org,
    reject_rbl_client bl.spamcop.net,
    reject_unauth_pipelining,
    reject_non_fqdn_recipient,
    reject_unknown_recipient_domain

Hiermee geef je aan dat de postfix black- en whitelist in het bestand /etc/postfix/sender_access gecontroleert moet worden.

Sla hierna je wijzigingen op en sluit het bestand (ctrl + x > y > enter).

Stap 4

Open / maak het nieuwe blacklist/whitelist bestand aan:

nano /etc/postfix/sender_access

Stap 5

Geef het bestand de volgende inhoud, waarbij je domeinen / (delen van) mailadressen die je whitelist aangeeft met 'OK' en blacklist met 'REJECT'.

# /etc/postfix/sender_access
#
# Black/Whitelist for senders matching the 'MAIL FROM' field. Examples...
#
myfriend@example.com    OK
junk@spam.com           REJECT
marketing@              REJECT
theboss@                OK
deals.marketing.com     REJECT
somedomain.com          OK

Sla hierna je wijzigingen op en sluit het bestand (ctrl + x > y > enter).

Stap 7

Herstart tot slot Postfix om de wijzigingen te verwerken:

systemctl restart postfix

Inkomende mail wordt nu automatisch gescand om te controleren of de verzender in je eigen blacklist staat.

Daarmee zijn wij aan het eind gekomen van deze handleiding over blacklist controle in Postfix. Mocht je aan de hand van deze handleiding nog vragen hebben, aarzel dan niet om onze supportafdeling te benaderen. Je kunt hen bereiken via de knop 'Neem contact op' onderaan deze pagina.