Optymalizacja spamassassina?
lord_Niedzwiedz
sir_Misiek w o2.pl
Pon, 20 Paź 2014, 09:49:07 CEST
>> Słuchaj.
>> Każdy mechanizm filtrujący pocztę obciąża CPU. Testy, analizy
>> wiadomości, ........ .
>> Jedyny nie obciążający i ucinający (a obecnie chyba najlepszy) to jest
>> właśnie postcreen. Ucina w zarodku przed analizą.
>> Obecnie na jednym z moich serwerów wycina 97% niechcianej poczty, na
>> kolejnym 70%.
>> Oraz RBL'e.
>> Wszystko co będzie sprawdzało wiadomość na 100% obciąży Ci CPU (nie ma
>> siły).
> No tak, to Jest dla mnie jasne. Bardziej chodziło mi o to jakie RBLe
> dobrze wam się sprawdzają tudzież jakie testy dla postscreena wstawić.
> W szczególności chodzi o false-positive. Jak na razie mam:
>
> smtpd_recipient_restrictions =
> permit_mynetworks,
> permit_sasl_authenticated,
> reject_unauth_destination,
> check_policy_service inet:192.168.1.1:23
> # to ostatnie to postgrey na zdalnym systemie,
> # w OpenWrt brakuje zarówno modułów do perla
> # jak i zasobów (głównie pamięć) więc postawiłem zdalnie
>
> smtpd_client_restrictions =
> permit_mynetworks,
> permit_sasl_authenticated,
> reject_unknown_client,
> reject_unauth_pipelining,
> reject_rbl_client cbl.abuseat.org,
> reject_rbl_client blackholes.easynet.nl,
> reject_rbl_client proxies.blackholes.wirehub.net,
> reject_rbl_client bl.spamcop.net,
> reject_rbl_client sbl.spamhaus.org,
> reject_rbl_client sbl-xbl.spamhaus.org,
> reject_rbl_client dnsbl.ahbl.org,
> reject_rbl_client zen.spamhaus.org,
> reject_rbl_client dnsbl.njabl.org,
> reject_rbl_client dnsbl.sorbs.net,
> reject_rhsbl_sender dsn.rfc-ignorant.org
>
> Co do postscreena to kombinuje tak:
>
> postscreen_access_list = permit_mynetworks,
> cidr:/etc/mail/postscreen_access.cidr
> postscreen_blacklist_action = drop
> postscreen_dnsbl_threshold = 3
> postscreen_dnsbl_sites = zen.spamhaus.org*2,bl.spamcop.net*1,
> postscreen_dnsbl_action = enforce
> postscreen_greet_banner = $smtpd_banner
> postscreen_greet_action = enforce
> postscreen_bare_newline_enable = no
> postscreen_non_smtp_command_enable = yes
> postscreen_non_smtp_command_action = drop
> postscreen_pipelining_enable = no
>
> Tu jest na razie problem. OpenWrt'owy postfix nie ma wsparcia do baz
> danych btree. W związku z tym nie mam jak ustawić
> postscreen_cache_map. Nie wiem czy uda mi się to jakoś wkompilować.
>
> Co myślicie?? Ma to sens?? Co byście poprawili??
smtpd_client_restrictions =
# cbl.abuseat.org - zajebist blokuje chincow
#permit_mynetworks,
permit_sasl_authenticated, reject_unauth_pipelining,
reject_rbl_client cbl.abuseat.org,
reject_rbl_client blackholes.easynet.nl,
reject_rbl_client proxies.blackholes.wirehub.net,
reject_rbl_client bl.spamcop.net,
reject_rbl_client sbl.spamhaus.org,
reject_rbl_client sbl-xbl.spamhaus.org, reject_rbl_client
dnsbl.ahbl.org, reject_rbl_client zen.spamhaus.org, reject_rbl_client
dnsbl.njabl.org, permit_mynetworks, reject_rbl_client dnsbl.sorbs.net,
reject_rhsbl_sender dsn.rfc-ignorant.org
#=========================================== P O S T S C R E E N
===================================================
# Wlacz/wylacz liste: ignore - nie robi nic; enforce - czeka na
wieksza liczbe testow i w mieszyczasie odpowiada 550 - skrzynka nie
dostepna; drop od razu porzuca
# Listy statyczne
postscreen_access_list = permit_mynetworks,
cidr:/etc/mail/postscreen_access.cidr
postscreen_blacklist_action = drop
# Czarne listy dns - DNSBL
# Z 3 list musi dotrzec informacja o spamie zanim postscreen okresli
adresata jako z spamera
postscreen_dnsbl_threshold = 3
postscreen_dnsbl_sites = zen.spamhaus.org*2,bl.spamcop.net*1,
postscreen_dnsbl_action = enforce
# Faza pregreeting
postscreen_greet_banner = $smtpd_banner
postscreen_greet_action = enforce
# Testy Postscreena
#postscreen_bare_newline_action = enforce
#postscreen_pipelining_action = enforce
postscreen_bare_newline_enable = no
# Z tym ustawieniem dziala wszystko poza web.de oraz gmx.de
postscreen_non_smtp_command_enable = yes
postscreen_non_smtp_command_enable = no
postscreen_non_smtp_command_action = drop
postscreen_pipelining_enable = no
Więcej informacji o liście pld-users-pl