是這樣的, 偶公司原本已經有一台網域主控站, 例如 test.com.tw
登入帳號的是 william
但是突然有需求要代管副網域, 假設是 kafeiou.pw
test.com.tw 與 kafeiou.pw 的差異頗大
策略就是在新增帳號時, 後面加上 @kafeiou.pw
這樣就能區分若是登入的帳號有 @ , 就代管的網域
這樣有個好處, 郵件伺服器(postfix), 可以彈性代管多個網域.
只是要注意, 我在windows 2012測試的時候, 發現使用這種方式新增帳號, 會出現@被取代成_的現象,
原本william@kafeiou.pw會變成 william_kafeiou.pw
後來發現可以利用屬性編輯的方式,先找到sAMAccountName , 然後強制把william_kafeiou.pw修改回william@kafeiou.p, 測試了一下, 運行良好, 而且輸入完整的email登入也正常, 可以算是個小技巧
偶的郵件伺服器使用postfix + amavisd-new+clamav
最近很不好意思的發現 clamav 很早以前就支援google Safe Browsing , 除了防毒外,還可以過濾掉一些不正當的連結, 作法如下:
1. 修改/etc/freshclam.conf , 加上:
SafeBrowsing yes
2. 重啟clamav service, 或是postfix 透過amavisd不需要重啟service, 只要執行freshclam這個指令即可
這檔案非常冷門, 因為winrar 5.70之前版本爆出漏洞, 所以索性就阻擋下來,
修改amvisd.conf檔案
1. 增加
$map_full_type_to_short_type_re = [
[qr/^ACE archive\b/i => 'ace-unwanted'],
];
2. 找出$banned_filename_re , 在裡面加上以下兩行
qr'^.(ace-unwanted)$'i,
[ qr'^application/ace$'i => 0 ],
3. 重啟amavisd
postfix郵箱大小設定, 若您是自架郵件伺服器, 那當然就是郵件總量無限制囉,哈
virtual_mailbox_limit = 0而且可以讓每封郵件大一點
message_size_limit = 102400000找出 /etc/amavisd/amavisd.conf 或是 /etc/amavisd.conf
修改
$QUARANTINEDIR = '/var/spool/amavisd/quarantine'; $spam_quarantine_method = 'local:spam-%b-%i-%n'; $spam_admin = "xxx.yyy\@$mydomain"; $mailfrom_to_quarantine = 'xxx.yyy\@mydomain';
有時候要讓寄件者, 寄到某些網域的信保留在server, 而不真正寄發出去, 這時候要觸發 HOLD 機制, 作法如下:
1. 在smtpd_recipient_restrictions第一行加上以下設定
smtpd_recipient_restrictions =
check_recipient_access hash:/etc/postfix/hold
…
2. vi /etc/postfix/hold 內容
###################
test.com HOLD
###################
3. postmap hash:/etc/postfix/hold
4. postfix reload
5. 若要刪除HOLD住的郵件
執行
postsuper -d ALL hold
6.若要解除HOLD郵件, 執行
postsuper -H ALL
咖啡偶架設郵件除了使用iRedMail外, 手動安裝一向喜歡 postfix+amavisd
amavisd很強大, 第一關就是spamassassin , 其設定檔包含白名單設定方式
請參考 10022號技術文件檔案
Linux 如何如實轉寄郵件而不會顯示是誰轉寄的, 這有點繞舌 , 意思就是網管攔截到一封疑似廣告信
但是後來判定不是, 需要重新還給使用者, 這時候用網管的角色轉寄, 寄件者將會出現網管的名字, 而不是原本的寄件者.
因此, 需要原封不動的轉寄過去,
請使用這個指令
swaks -f <網管帳號> -t <收件者帳號> -d <郵件檔案>
-f 網管帳號 的選項可以不用,這只是藏在檔頭裡面方便以後查驗
安裝方式:
CentOS: yum install swaks Ubuntu: apt install swaks
正規表示式很強大, 咖啡偶最近重整郵件伺服器的檔廣告規則,發現以往的作法 hash 彈性不夠, 必須改用正規表示式 pcre , 但又不是很熟, 而且在不常用的情況下, 背起來是不太可能, 因此需要找些能提供正規表示式的檢測網站, 其實意外的多, 以下推薦的網站
這樣就能把postfix 的相關規則, 從 hash 改成 pcre 囉
Postfix 擋廣告的限制設定, 重要的有三個,簡稱三兄弟:
老大: smtpd_sender_restrictions
這部份著墨不多, 基本上就是檢查寄件者格式是否正確, 是第一階段限制
老2: smtpd_client_restrictions
這個設定重點在於限制主機名稱 或是 ip
例如:
check_client_access hash:/etc/postfix/sender_mail_hostname_check
代表你必須正確地, 將要限制的郵件主機名稱,或是ip (不能使用萬用字元), 寫入sender_mail_hostname_check 這個檔案裡面, 才能限制該主機.
接著再加上這個很威猛的設定 reject_unknown_client_hostname
利用dns方式, 來驗證主機名稱是否相符正, 否則就拒絕, 舉例來說:
若該郵件主機 ip 是1.2.3.4 , 且dns查詢結果是 xxx.com , 可是實際上 xxx.com 正向查詢不是 1.2.3.4 , 就會被擋下來!
ps. 1.2.3.4 可以宣稱是yyy.com 這個網域的郵件主機, 跟實際dns是xxx.com可以不一樣的.
光是這一招就能解決大部分廣告信, 因為廣告主機都會胡亂宣稱.
當然也造成很多誤判狀況, 因為有些IT人員並不會很認真處理主機ip的反解.
** reject_unknown_client_hostname 可以改用 reject_unknown_reverse_client_hostname 來替代, 只要反查不要查不出主機名稱 , 就不會擋下來, 比較寬鬆.
老3. smtpd_recipient_restrictions
這部份就很多設定了, 重點在於
check_sender_access hash:/etc/postfix/sender_email_check
sender_email_check 紀錄了寄件者郵箱或是網域是否可以限制
與老2不同的是, 這裡可以使用萬用字元, 因為阻擋的不是ip , 而是email