FreeBSD: Почтовая система среднего офиса на базе Postfix

В настоящее время почтовая система изменилась. Теперь она установлена на настоящий двухпроцессорный сервер, работающий под управлением последней стабильной версии FreeBSD, учетная информация хранится в базе данных MySQL, для администрирования которой используется PostfixAdmin, простейший POP3/POP3S-сервер на базе popa3d и stunnel заменен намного более серьезным POP3/POP3S/IMAP4/IMAP4S-сервером Courier-IMAP, в подсистему защиты от вирусов и СПАМа интегрирована утилита p0f, предназначенная для определения типа операционной системы удаленных почтовых серверов, а также добавлены функции DKIM подписания и DKIM верификации, в подсистему анализа статистики добавлена возможность оценки величины потока сообщений с помощью Mailgraph.

Постановка задачи

Необходимо создать почтовую систему среднего офиса (до 50-100 клиентов) с надежной защитой от вирусов и СПАМа, а также c возможностью безопасного использования из-за пределов корпоративной сети. Самым важным и сложным моментом в рассматриваемой задаче (судя по моему скромному опыту) является избавление от СПАМа, объем которого в последнее время достигает катастрофических значений. Существует масса статей, описывающих различные этапы борьбы со СПАМом. Я пробовал множество вариантов, но ни один из них не понравился на 100%. Поэтому пришлось экспериментировать, собирая все по кусочкам. Ниже описана конфигурация почтовой системы, которую мы использовали с сентября 2005 года по февраль 2008 года. Подсистема защиты от вирусов и СПАМа расширилась, однако, та ее часть, которая описана ниже, прекрасно работает и сейчас. Всех все устраивает. Неожиданные письма появляются редко, хотя менеджеры не перестают публиковать свои адреса на публичных сайтах.

Исходные данные

Имеется сервер с FreeBSD, находящийся на входе подсети центрального офиса. В качестве MTA мы будем использовать Postfix. На вопрос: “почему?” уже много раз отвечали до меня, например в статье Создаем почтовую систему среднего и малого офиса на основе FreeBSD Postfix + dr.web + popa3d + pflogsumm. Архитектура Postfix рассмотрена в статье Архитектура, принципы и теория работы Postfix, диагностика возможных проблем – в статье Postfix: диагностируем и устраняем неисправности. Кроме Postfix нам понадобится следующее программное обеспечение: для шифрования SMTP-трафика – OpenSSL; для аутентификации удаленных SMTP-клиентов – Cyrus-SASL2 + Cyrus-SASL2-saslauthd; для связи Postfix с системами защиты от вирусов и СПАМа – Amavisd-New; для защиты от вирусов – ClamAV; для защиты от СПАМа – SpamAssassin + DCC + Pyzor + Razor-Agents; для хранения баз данных SpamAssassin – сервер MySQL (процесс настройки сервера MySQL не расматривается в данной статье за исключением создания базы данных и пользователя SpamAssassin); для формирования информативных отчетов (они нужны сисадминам для разрешения проблем) – pflogsumm; для формирования красивых отчетов (они нужны руководству для дополнительного осознания того, что сисадмин не туниядец) – AWStats; для обеспечения доступа к отчетам – сервер Apache (процесс настройки сервера Apache не рассматривается в данной статье за исключением добавления возможности отображения отчетов о работе почтовой системы). Все перечисленное программное обеспечение будет устанавливаться из портов, поэтому я настоятельно рекомендую Вам обновить их перед выполнением действий, описанных ниже (я использовал FreeBSD 4.10 и последние версии портов для нее). Ссылки на источники информации будут приводиться применительно к конкретным разделам статьи.

Установка и начальная настройка Postfix

Установку Postfix необходимо выполнить из портов:

cd /usr/ports/mail/postfix
make install

В окне конфигурации, которое появляется в процессе выполнения команды make install, необходимо отметить опции: [X] PCRE Perl Compatible Regular Expressions, [X] SASL2 Cyrus SASLv2 (Simple Auth. and Sec. Layer), [X] TLS Enable SSL and TLS support. Если окно конфигурации не появилось, выполните команду make config. В конце процесса установки Вам будет задан запрос о замене используемого по умолчанию MTA, на который нужно ответить утвердительно. Для того, чтобы Postfix запускался при загрузке операционной системы, необходимо выполнить требование команды make install – добавить в файл /etc/rc.conf строки:

sendmail_enable="YES"
sendmail_flags="-bd"
sendmail_pidfile="/var/spool/postfix/pid/master.pid"
sendmail_procname="/usr/local/libexec/postfix/master"
sendmail_outbound_enable="NO"
sendmail_submit_enable="NO"
sendmail_msp_queue_enable="NO"

Файлы конфигурации Postfix хранятся в папке /usr/local/etc/postfix. На данном этапе для нас интересны два файла: main.cf (главный файл конфигурации) и aliases (файл, описывающий псевдонимы). В файле main.cf необходимо изменить следующие значения (подробное описание всех опций, которые можно задать в данном файле, приведено в postconf(5)):

myhostname = host.domain.com
mydomain = domain.com
myorigin = $mydomain
inet_interfaces = all
mydestination = $mydomain
mynetworks = 127.0.0.0/8, 192.168.0.0/24
alias_database = hash:/usr/local/etc/postfix/aliases
$alias_maps = $alias_database

Естественно, host.domain.com и domain.com нужно заменить на FQDN сервера и домена, а список mynetworks откорректировать в соответствии с конфигурацией сети. В файле aliases (подробное описание формата данного файла приведено в aliases(5)) необходимо задать псевдоним пользователя root, а затем выполнить команду newaliases. Не забудьте, что для корректной работы SMTP-сервера Ваш брандмауэр должен разрешать прохождение TCP-трафика на все нужные адреса сервера порт 25, поэтому добавьте соответствующие правила, если они отсутствуют. На этом первичная настройка Postfix заканчивается. Можно запустить Postfix командой postfix start, посмотреть сообщения, которые пишутся в /var/log/maillog, и проверить работоспособность сервера, подключившись к 25 порту локального хоста с помошью клиента telnet, как описано здесь однако, даже если ошибок нет, расслабляться еще очень рано, т.к. сервер является достаточно легкой добычей для СПАМеров.

Добавление поддержки аутентификации SMTP

Аутентификация SMTP, функционирование которой описано в документе RFC-2554, предназначена для разграничения доступа пользователей к почтовому серверу на основании их учетных данных (имен и паролей). Мы будем использовать аутентификацию SMTP для авторизации пользователей, находящихся за пределами доверенных сетей (т.е. сетей, описанных в параметре mynetworks, рассмотренном выше). Для аутентификации пользователей, имеющих почтовые клиенты, работающие под Windows (такие как Microsoft Outlook, Microsoft Outlook Express, The Bat! и т.д.), нам потребуются методы аутентификации LOGIN и PLAIN. Пароли пользователей мы будем брать из основной базы данных паролей операционной системы. Действия, описанные в данном разделе, выполнялись под руководством статьи Tim Yocum Postfix with TLS and SASL.
В первую очередь необходимо установить Cyrus-SASL2 и Cyrus-SASL2-salauthd из портов:

cd /usr/ports/security/cyrus-sasl2
make install
cd ../cyrus-sasl2-saslauthd
make install

Все лишние (в смысле не используемые нами) возможности Cyrus-SASL2 нужно отключить:

cd /usr/local/lib/sasl2
mkdir deactivated
mv *anonymous* deactivated
mv *crammd5* deactivated
mv *digestmd5* deactivated
mv *ntlm* deactivated
mv *opt* deactivated
mv *sasldb* deactivated

В папке /usr/local/lib/sasl2 содержится два файла конфигурации Cyrus-SASL2: sendmail.conf (для использования совместно с Sendmail) и smtpd.conf (для использования совместно с Postfix). Нас интересует второй, содержимое которого нужно заменить на:

pwcheck_method: saslauthd

Такое значение параметра pwcheck_method заставляет Cyrus-SASL2 использовать для аутентификации Cyrus-SASL2-saslauthd. Файл sendmail.conf можно переместить в папку deactivated. Для того, чтобы Cyrus-SASL2-saslauthd запускался при загрузке операционной системы и использовал ее базу данных паролей, необходимо добавить в файл /etc/rc.conf следующие строки:

saslauthd_enable="YES"
saslauthd_flags="-a getpwent"

После настройки Cyrus-SASL2 и Cyrus-SASL2-saslauthd необходимо включить поддержку SASL2 в файле main.cf:

smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
smtpd_sasl_local_domain = $mydomain
broken_sasl_auth_clients = yes

Указанные параметры имеют следующие значения: smtpd_sasl_auth_enable – включение поддержки SASL, smtpd_sasl_security_options – дополнительные опции SASL (в нашем случае запрет анонимной аутентификации), smtpd_sasl_local_domain – доменная часть имени пользователя (в нашем случае используется имя домена, т.е. при настройке почтовых клиентов в разделе “Аутентификация SMTP” можно просто устанавливать опцию “Использовать параметры получения почты POP3″, а не задавать имя пользователя и пароль), broken_sasl_auth_clients – опция необходима для поддержки старых версий почтовых клиентов, например Microsoft Outlook Express 4 и Microsoft Exchange 5, использующих другую форму команды AUTH, которая описана в документе RFC-4954. На этом добавление поддержки SASL к Postfix заканчивается (естественно, необходимо откорректировать соответствующие наборы правил *_restrictions в файле main.cf, о чем будет сказано ниже). Остается перезапустить Postfix и начать пользоваться аутентификацией SMTP. Однако не стоит торопиться, т.к. аутентификация SMTP максимально эффективна только совместно с TLS-шифрованием трафика.

Добавление поддержки TLS-шифрования трафика

TLS-шифрование трафика предназначено для обеспечения защиты трафика при взаимодействии клиентов, находящихся за пределами доверенных сетей, с нашим сервером, а также при взаимодействии нашего сервера c другими почтовыми серверами. Для TLS-шифрования трафика мы будем использовать функции OpenSSL и самоподписной доверенный сертификат X.509. Действия, описанные в данном разделе, выполнялись под руководством статьи Tim Yocum Postfix with TLS and SASL. Для создания самоподписного доверенного сертификата, находясь в папке /usr/local/etc/postfix, необходимо выполнить команду:

openssl req -new -nodes -x509 -out smtpd.pem -keyout smtpd.pem -days 3650

Команда req заставляет OpenSSL создать сертификат, ключи: -new – cоздать запрос на сертификат, -nodes – не шифровать закрытый ключ, -x509 (совместно с -new) – создать самоподписной сертификат, -keyout – задает местонахождение закрытого ключа, -out – задает местонахождение самоподписного сертификата, -days – задает время действия сертификата (365×10 дней, что приблизительно равно десяти годам). В процессе выполнения команды на экран будут выданы запросы о вводе таких параметров как: Country Name, State or Province Name; Locality Name; Organization Name; Organizational Unit Name; Common Name; Email Address. Самым важным параметром является значение Common Name. В нашем случае оно должно совпадать с FQDN сервера, по которому клиенты будут обращаться к нему для отправки почты. После генерации сертификата необходимо включить поддержку TLS в файле main.cf:

smtp_use_tls = yes
smtpd_use_tls = yes
smtpd_tls_auth_only = yes
smtp_tls_note_starttls_offer = yes
smtpd_tls_key_file = /usr/local/etc/postfix/smtpd.pem
smtpd_tls_cert_file = /usr/local/etc/postfix/smtpd.pem
smtpd_tls_CAfile = /usr/local/etc/postfix/smtpd.pem
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
tls_random_source = dev:/dev/urandom

Указанные параметры имеют следующие значения: smtp_use_tls – использовать TLS, если удаленный сервер сообщает о поддержке TLS, smtpd_use_tls – сообщать клиентам о поддержке TLS, smtpd_tls_auth_only – использовать аутентификацию SMTP только для TLS-соединений, smtp_tls_note_starttls_offer – фиксировать в логе имена серверов, выдающих сообщение STARTTLS, поддержка TLS для которых не включена, smtpd_tls_key_file – местонахождение закрытого ключа сервера, smtpd_tls_cert_file – местонахождение сертификата сервера, smtpd_tls_CAfile – местонахождение самоподписного доверенного сертификата, smtpd_tls_loglevel – детальность сообщений о TLS-активности, выводимых в лог, smtpd_tls_received_header – запрашивать заголовки сообщений с информацией о версии протокола и алгоритме шифрования, smtpd_tls_session_cache_timeout – время, в течение которого данные в кэше TLS-сессии считаются актуальными, tls_random_source – имя устройства-генератора псевдослучайных чисел (PRNG). Для того, чтобы Postfix принимал TLS-соединения на специальный порт (465/SMTPS, а не 25/SMTP), в файле /usr/local/etc/postfix/master.cf необходимо раскомментировать строки:

smtps inet n - n - - smtpd
  -o smtpd_tls_wrappermode=yes
  -o smtpd_sasl_auth_enable=yes

Не забудьте, что Ваш брандмауэр должен разрешать прохождение TCP-трафика на адреса нужных интерфейсов сервера порт 465, поэтому добавьте соответствующие правила, если они отсутствуют. На этом добавление поддержки TLS-шифрования трафика к Postfix заканчивается. Остается перезапустить Postfix и начать пользоваться аутентификацией SMTP и TLS-шифрованием трафика.

Защита от вирусов и СПАМа средствами Postfix

Средства защиты от вирусов и СПАМа, встроенные в Postfix, описаны в документе Postfix SMTP relay and access control. Я также рекомендую Вам обратиться к подразделу “UCE/Virus” раздела “Howtos and FAQs” официального сайта Postfix и внимательно почитать статьи, которые OpenNET выдаст по запросу “postfix spam”. Я предлагаю достаточно жесткую политику защиты от вирусов и СПАМа, которая не исключает потерю некоторых валидных сообщений, отправленных с некорректно настроенных серверов, которых в России достаточно много. В первый месяц использования описанной конфигурации Вам придется внимательно анализировать логи, генерируемые pflogsumm. Затем иногда нужно будет вручную обновлять содержимое соответствующих файлов (этот момент подробно описан ниже). Некоторые могут не согласиться с таким подходом. Выбирать Вам. Лично мне проще добавить одну-две строки за месяц, чем ежедневно выгребать кучи СПАМа из пользовательских почтовых ящиков. На этом философия заканчивается, и я перехожу к описанию настроек. Внимание, все файлы, описанные в данном разделе, должны находиться в папке /usr/local/etc/postfix, также в эту папку необходимо переходить перед выполнением любой из описанных в данном разделе команд. Изменение любого из параметров, задаваемых в файле main.cf вступает в силу только после перезапуска Postfix. В отдельно отмеченных случаях перезапуску должно предшествовать выполнение команды postmap.
Начинаем с изменения файла main.cf. В первую очередь необходимо ограничить максимальный размер почтовых ящиков и сообщений значениями 50 МБайт и 10 МБайт (мне кажется, что эти цифры более чем достаточны):

mailbox_size_limit = 52428800
message_size_limit = 10485760

Затем необходимо изменить коды ответов сервера об ошибках доставки сообщений, чтобы ПО СПАМера имело меньше шансов адекватного анализа причин невозможности доставки сообщений:

invalid_hostname_reject_code = 550
non_fqdn_reject_code = 550
unknown_address_reject_code = 550
unknown_client_reject_code = 550
unknown_hostname_reject_code = 550
unverified_recipient_reject_code = 550
unverified_sender_reject_code = 550

Затем необходимо запретить использование адресов, отличных от определенных в документе RFC-821, запретить использование команды VRFY и потребовать обязательное использование команды HELO/EHLO:

strict_rfc821_envelopes = yes
disable_vrfy_command = yes
smtpd_helo_required = yes

Далее следует очень важный параметр smtpd_delay_reject. Я настоятельно рекомендую не изменять его значение по умолчанию (yes). В противном случае сеанс связи с почтовым сервером будет обрываться при срабатывании первого из ограничений, под которое попал клиент, и Вы даже не узнаете о потере возможно валидных сообщений и, соответственно, не сможете оперативно изменить настройки для их беспрепятственной доставки.
В связи с использованием отложенной обработки ограничений можно поместить все ограничения доступа к почтовому серверу на этапах установки соединения, получения команд HELO/EHLO и MAIL FROM в раздел, описывающий ограничения доступа на этапе получения команды RCPT TO, оставив пустыми остальные из перечисленных разделов:

smtpd_client_restrictions =
smtpd_helo_restrictions =
smtpd_sender_restrictions =
smtpd_recipient_restrictions =
  permit_mynetworks,
  permit_sasl_authenticated,
  reject_unauth_destination,
  reject_unauth_pipelining,
  check_client_access hash:/usr/local/etc/postfix/access_client,
  check_client_access pcre:/usr/local/etc/postfix/access_client.pcre,
  reject_unknown_client_hostname,
  check_helo_access hash:/usr/local/etc/postfix/access_helo,
  reject_invalid_helo_hostname,
  reject_non_fqdn_helo_hostname,
  reject_unknown_helo_hostname,
  check_sender_access hash:/usr/local/etc/postfix/access_sender,
  reject_non_fqdn_sender,
  reject_unknown_sender_domain,
  reject_unverified_sender,
  reject_non_fqdn_recipient,
  reject_unknown_recipient_domain,
  reject_unverified_recipient,
  reject_rbl_client cbl.abuseat.org,
  reject_rbl_client combined.njabl.org,
  reject_rbl_client dnsbl.njabl.org,
  reject_rbl_client dul.ru,
  reject_rbl_client dynablock.njabl.org,
  reject_rbl_client opm.blitzed.org,
  reject_rhsbl_client blackhole.securitysage.com,
  reject_rhsbl_client rhsbl.sorbs.net,
  reject_rhsbl_sender blackhole.securitysage.com,
  reject_rhsbl_sender rhsbl.sorbs.net,
  permit

Указанные ограничения доступа имеют следующие значения: permit_mynetworks – разрешить доступ из доверенных сетей, permit_sasl_authenticated – разрешить доступ клиентам, прошедшим процедуру аутентификации SMTP, reject_unauth_destination – если наш сервер является конечной точкой следования почтового сообщения (сервер может быть релеем для других доменов, но в нашем случае эта возможность не используется) запретить отправку сообщений, получатели которых находятся за пределами доменов, описанных в параметрах $mydestination, $inet_interfaces и $virtual_maps (говоря другими словами, запретить Postfix быть открытым релеем), reject_unauth_pipelining – запретить некорректное использование команд конвейерной обработки, check_client_access hash:... – проверить, разрешен ли доступ в файле, являющемся параметром данного ограничения (файл access_client имеет формат, описанный в access(5), его содержимое и рекомендации по использованию приведены ниже), check_client_access pcre:... – ограничение аналогично предыдущему за исключением того, что используется другой формат файла (файл access_client.pcre имеет формат, описанный в pcre_table(5), его содержимое приведено ниже), reject_unknown_client_hostname – запретить доступ клиентам, не зарегистрированным в DNS, check_helo_access hash:... – проверить, разрешено ли выданное клиентом приветствие в файле, являющемся параметром данного ограничения (файл имеет формат, описанный в access(5), его содержимое и рекомендации по использованию приведены ниже), reject_invalid_helo_hostname – запретить доступ, если имя хоста, содержащееся в выданном клиентом приветствии, имеет некорректный синтаксис, reject_non_fqdn_helo_hostname – запретить доступ, если имя хоста, содержащееся в выданном клиентом приветствии, не является FQDN, reject_unknown_helo_hostname – запретить доступ, если для имени хоста, содержащемся в выданном клиентом приветствии, не существует A или MX запись в DNS, check_sender_access hash:... – проверить, разрешен ли адрес отправителя сообщения в файле, являющемся параметром данного ограничения (файл имеет формат, описанный в access(5), его содержимое и рекомендации по использованию приведены ниже), reject_non_fqdn_sender – запретить доступ, если адрес отправителя сообщения имеет некорректный формат, reject_unknown_sender_domain – запретить доступ, если для имени домена адреса отправителя не существует A или MX запись в DNS, reject_unverified_sender – запретить доступ, если адрес отправителя не может быть проверен (механизм проверки описан в Postfix Address Verification Howto), reject_non_fqdn_recipient, – запретить доступ, если адрес получателя сообщения имеет некорректный формат, reject_unknown_recipient_domain – запретить доступ, если для имени домена адреса получателя не существует A или MX запись в DNS, reject_unverified_recipient, – запретить доступ, если адрес получателя не может быть проверен (механизм проверки описан в Postfix Address Verification Howto), reject_rbl_client – проверить адрес сети клиента по блэклисту, адрес которого является параметром данного ограничения, reject_rhsbl_client – проверить имя домена клиента по блэклисту, адрес которого является параметром данного ограничения, reject_rhsbl_sender – проверить имя домена, содержащееся в адресе отправителя, по блэклисту, адрес которого является параметром данного ограничения, permit – разрешить доступ. Внимание, список блэклистов, а также их использование на этапе анализа заголовков сообщений, – спорный вопрос. Я исходил из соображений экономии трафика и минимизации нагрузки на процессор сервера со стороны ПО, анализирующего текст сообщений.
Далее следует запретить использование команды ETRN из-за пределов доверенных сетей:

smtpd_etrn_restrictions =
  permit_mynetworks,
  reject

После сохранения файла main.cf необходимо создать файлы access_client, access_client.pcre, access_helo и access_sender:

touch access_client access_client.pcre access_helo access_sender

Файл access_client предназначен в основном для разрешения доступа с хостов, которые не зарегистрированы в DNS (в России таких немало), или попали в какой-либо блэклист (среди таких часто оказываются бесплатные почтовые системы, доски объявлений, форумы и т.п.). Для таких хостов необходимо задать правила вида <IP-адрес> OK и/или hostname OK. Для того, чтобы запретить доступ какому-либо клиенту, необходимо использовать REJECT вместо OK. После изменения файла access_client необходимо выполнить команду postmap access_client.
Файл access_client.pcre предназначен для блокировки абонентов Dial-Up, кабельных и xDSL сетей, которые не сочли нужным зарегистрировать “нормальное” имя в DNS. Большая часть таких абонентов – СПАМеры. Если Вам все же нужно принимать сообщения от одного из таких абонентов, добавьте его имя хоста или IP-адрес в файл access_client, рассмотренный выше. Файл access_client.pcre имеет следующее содержимое (коды ошибок и сообщения, выдаваемые при блокировке клиентов, можно изменить на свое усмотрение):

/[ax]dsl.*\..*\..*/i REJECT Your message looks like SPAM
/\.dsl.*\..*\..*/i   REJECT Your message looks like SPAM
/cable.*\..*\..*/i   REJECT Your message looks like SPAM
/client.*\..*\..*/i  REJECT Your message looks like SPAM
/dhcp.*\..*\..*/i    REJECT Your message looks like SPAM
/dial.*\..*\..*/i    REJECT Your message looks like SPAM
/dialup.*\..*\..*/i  REJECT Your message looks like SPAM
/dslam.*\..*\..*/i   REJECT Your message looks like SPAM
/host.*\..*\..*/i    REJECT Your message looks like SPAM
/node.*\..*\..*/i    REJECT Your message looks like SPAM
/pool.*\..*\..*/i    REJECT Your message looks like SPAM
/ppp.*\..*\..*/i     REJECT Your message looks like SPAM
/user.*\..*\..*/i    REJECT Your message looks like SPAM

Файл access_helo предназначен для блокировки абонентов, выдающих в приветствии имена, связанные с localhost, или одно из FQDN нашего сервера. Большая часть таких абонентов – СПАМеры. Также в данном файле можно разрешить доступ клиентам, выдающим некорректное приветствие, от которых все же нужно получать сообщения. Мой файл access_helo имеет следующее содержимое:

127.0.0.1             REJECT Your server configured incorrectly
localhost             REJECT Your server configured incorrectly
localhost.localdomain REJECT Your server configured incorrectly
localhost.domain.com  REJECT Your server configured incorrectly
10                    REJECT Your server configured incorrectly
172.16                REJECT Your server configured incorrectly
192.168               REJECT Your server configured incorrectly
1.2.3.4               REJECT Your server configured incorrectly
name1.domain.com      REJECT Your server configured incorrectly
name2.domain.com      REJECT Your server configured incorrectly
name3.domain.com      REJECT Your server configured incorrectly
mail3.kc.sss          OK
prommkmos.PMK.local   OK
prommkmos2.PMK.local  OK

Первые 11 правил запрещают доступ клиентам, выдающим некорректное приветсвие (domain.com необходимо заменить на FQDN нашего домена, 1.2.3.4 – на IP-адрес нашего сервера, а вместо name1.domain.com – nameN.domain.com подставить все FQDN нашего сервера, заданные в DNS записями типа A и CNAME), 3 последних правила разрешают доступ нужным нам коряво настроенным клиентам (коды ошибок и сообщения, выдаваемые при блокировке клиентов, можно изменить на свое усмотрение). После изменения файла access_helo необходимо выполнить команду postmap access_helo.
Файл access_sender предназначен в основном для разрешения доступа отправителей, адреса или имена доменов которых попали в какой-либо блэклист, или удаленный сервер запрещает проверку их существования. Для разрешения доступа нужного отправителя или всех отправителей нужного домена необходимо добавить правила вида <Почтовый адрес отправителя> OK или @<Имя домена отправителя> OK, соответственно. После изменения файла access_sender необходимо выполнить команду postmap access_sender.
Осталось запретить получение сообщений, в которые вложены исполняемые файлы (файлы с расширением acm, ax, bat, bin, bpl, cat, chm, cmd, com, cpl, dat, dll, dpl, drv, exe, hlp, inf, ini, msc, nls, ocx, olb, pif, rom, scr, sys, tlb, vbs, vxd), которые, как правило, не рассылаются по электронной почте, поэтому очень вероятно, что это вирусы или троянские программы, а также трафикоемкие файлы, такие как аудиозаписи (файлы с расширением 669, aac, aif, aiff, amf, au, far, it, itz, kar, m3u, m4a, mdz, mid, midi, miz, mmf, mod, mp1, mp2, mp3, mp4, mtm, nsa, nst, ogg, okt, pls, ptm, rmi, s3m, s3z, snd, stm, stz, ult, voc, vaw, wma, xm, xmz) и видеоклипы (файлы с расширением asf, avi, m2v, mov, mpeg, mpg, nsv, qt, wmv). Для запрета отправки перечисленных файлов необходимо использовать механизм фильтрации заголовков почтовых сообщений, описанный в header_checks(5). В первую очередь необходимо указать в файле main.cf, где находятся файлы с правилами фильтрации не закодированных и закодированных MIME заголовков (данные файлы имеют формат, описанный в regexp_table(5)):

header_checks = regexp:/usr/local/etc/postfix/header_checks
mime_header_checks = regexp:/usr/local/etc/postfix/mime_header_checks

Затем необходимо создать файлы header_checks и mime_header_checks:

touch header_checks mime_header_checks

Файл header_checks должен содержать по одной строке для каждого типа файлов (ниже приведены две строки для файлов с расширениями com и ехе, для всех остальных типов файлов необходимо добавить аналогичные строки):

/^Content-(Type|Disposition):.*name[[:space:]]*=.*\.com/ REJECT
/^Content-(Type|Disposition):.*name[[:space:]]*=.*\.exe/ REJECT

Файл mime_header_checks также должен содержать по одной строке для каждого типа файлов (ниже приведены две строки для файлов с расширениями com и ехе, для всех остальных типов файлов необходимо добавить аналогичные строки):

/^\s*Content-(Disposition|Type).*name\s*=\s*"?(.+(\.|2E)com)(\?=)?"?\s*$/ REJECT
/^\s*Content-(Disposition|Type).*name\s*=\s*"?(.+(\.|2E)exe)(\?=)?"?\s*$/ REJECT

По умолчанию при срабатывании правил, заданных в файлах header_checks и mime_header_checks, выдаются стандартные сообщения об ошибках 5.7.1 message content rejected. Для того, чтобы сделать их более информативными и позволяющими локализовать сработавшее правило необходимо добавить в файлы header_checks и mime_header_checks соответствующие описания ошибок (после слов REJECT), например, HCR_COM: Attached COM file(s) rejected и MHCR_COM: Attached COM file(s) rejected, соответственно.
Во многих источниках рекомендуется добавлять в файл header_checks правила, блокирующие сообщения, содержащие определенные поля в заголовке, например:

/^Bel-Tracking: .*/    REJECT
/^Hel-Tracking: .*/    REJECT
/^Kel-Tracking: .*/    REJECT
/^BIC-Tracking: .*/    REJECT
/^Lid-Tracking: .*/    REJECT
/^X-Mailer: Avalanche/ REJECT

Часто в файле header_checks задаются правила, которые удаляют определенные поля из заголовков сообщений, например, поле с запросом подтверждения прочтения, которое часто используется СПАМерами для подтверждения существования почтового адреса:

/^Disposition-Notification-To:/ IGNORE

На этом я заканчиваю описание настроек Postfix, обеспечивающих защиту от вирусов и СПАМа (чуть позже останется немного подправить файлы main.cf и macter.cf для стыковки Amavisd-New и Postfix). Конфигурация почтовой системы, полученная на данном этапе, вполне работоспособна, но я все же рекомендую не торопиться использовать ее, пока не будет установлено, настроено и подключено специальное ПО для борьбы с вирусами и СПАМом. Только совместно с ним можно реализовать максимально эффективную комплексную защиту.

Установка и настройка ClamAV

Установку ClamAV необходимо выполнить из портов:

cd /usr/ports/security/clamav
make install

В окне конфигурации, которое появляется в процессе выполнения команды make install, необходимо отметить опции: [X] ARC Enable arch archives support, [X] ARJ Enable arj archives support, [X] LHA Enable lha archives support и [X] UNZOO Enable zoo archives support. Если окно конфигурации не появилось, выполните команду make config. После завершения установки ClamAV необходимо создать два файла clamd.conf и freshclam.conf:

cd /usr/local/etc
touch clamd.conf freshclam.conf

Файл clamd.conf задает конфигурацию антивирусного демона clamd и имеет следующее содержимое:

LogFile /var/log/clamav/clamd.log
LogClean
LogTime
PidFile /var/run/clamav/clamd.pid
DatabaseDirectory /var/db/clamav
LocalSocket /var/run/clamav/clamd
FixStaleSocket
User clamav
AllowSupplementaryGroups
ScanPE
ScanOLE2
ScanMail
ScanHTML
ScanArchive
ScanRAR

Указанные параметры имеют следующие значения: LogFile – местонахождение лог-файла, LogClean – отображать в лог-файле не зараженные файлы, LogTime – отображать в лог-файле время выполнения всех операций, PidFile – местонахождение файла, содержащего идентификатор процесса clamd, DatabaseDirectory – местонахождение антивирусных баз, LocalSocket – местонахождение локального сокета, который “слушает” демон, FixStaleSocket – удалять сокет, оставшийся после некорректного завершения работы clamd, User – пользователь, от имени которого работает clamd, AllowSupplementaryGroups – учитывать права доступа для дополнительных групп, ScanPE, ScanOLE2, ScanMail, ScanHTML, ScanArchive и ScanRAR – сканировать PE-EXE файлы Win32, объекты OLE2, почтовые сообщения, гипертекстовые документы, архивы и архивы RAR, соответственно.
Файл freshclam.conf задает конфигурацию системы обновления антивирусных баз freshclam и имеет следующее содержимое:

DatabaseDirectory /var/db/clamav
UpdateLogFile /var/log/clamav/freshclam.log
PidFile /var/run/clamav/freshclam.pid
DatabaseOwner clamav
AllowSupplementaryGroups
DatabaseMirror database.clamav.net
Checks 8
NotifyClamd

Указанные параметры имеют следующие значения: DatabaseDirectory – местонахождение антивирусных баз, UpdateLogFile – местонахождение лог-файла, PidFile – местонахождение файла, содержащего идентификатор процесса freshclam, DatabaseOwner – пользователь – владелец антивирусных баз, AllowSupplementaryGroups – учитывать права доступа для дополнительных групп, DatabaseMirror – источник получения обновлений антивирусных баз, Checks – количество проверок появления обновлений (в нашем случае 8 раз за сутки или каждые 3 часа), NotifyClamd – извещать clamd о том, что антивирусные базы обновились.
Для того, чтобы clamd и freshclam запускались при загрузке операционной системы, необходимо добавить в файл /etc/rc.conf следующие строки:

clamav_clamd_enable="YES"
clamav_freshclam_enable="YES"

На этом настройка ClamAV заканчивается. Можно запустить clamd (командой /usr/local/etc/rc.d/clamd.sh start) и freshclam (командой /usr/local/etc/rc.d/freshclam.sh start) и посмотреть сообщения, которые пишутся в /var/log/clamav/clamd.log и /var/log/clamav/freshclam.log, соответственно.

Установка и настройка DCC

Установку DCC необходимо выполнить из портов:

cd /usr/ports/mail/dcc-dccd
make install

Какая-либо дополнительная настройка не требуется. Работоспособность DCC можно проверить, выполнив команду cdcc 'info'. Внимание, для корректной работы DCC Ваш брандмауэр должен разрешать прохождение UDP-трафика с 6277 порта серверов, находящихся во внешней сети, поэтому добавьте соответствующие правила, если они отсутствуют.

Установка и настройка Pyzor

Установку Pyzor необходимо выполнить из портов:

cd /usr/ports/mail/pyzor
make install

После завершения установки Pyzor необходимо выполнить команду pyzor discover, после чего в Вашей домашней папке появится папка .pyzor, а в ней файл servers. На данном этапе настройка Pyzor заканчивается.

Установка и настройка Razor-Agents

Установку Razor-Agents необходимо выполнить из портов:

cd /usr/ports/mail/razor-agents
make install

После завершения установки Razor-Agents необходимо выполнить команды razor-admin -create и razor-admin -register, после чего в Вашей домашней папке появится папка .razor, а в ней несколько файлов. На данном этапе настройка Razor заканчивается.

Установка и настройка SpamAssassin

В первую очередь проверьте версию интерпретатора Perl, установленного в системе по умолчанию, по команде perl -v. Если она меньше 5.8, Вам необходимо установить Perl 5.8 из портов и сделать его обработчиком Perl по умолчанию:

cd /usr/ports/lang/perl5.8
make install
cd work
chmod +x use.perl
./use.perl port

Установку SpamAssassin необходимо выполнить из портов:

cd /usr/ports/mail/p5-Mail-SpamAssassin
make install

В окне конфигурации, которое появляется в процессе выполнения команды make install, дополнительно к отмеченным по умолчанию необходимо отметить опции: [X] MYSQL Add MySQL support и [X] RAZOR Add Vipul's Razor support. Если окно конфигурации не появилось, выполните команду make config. После завершения установки SpamAssassin необходимо создать базу данных spamassasin и пользователя spamassassin для работы с ней. Запустите клиент MySQL по команде mysql -u <имя пользователя-администратора> -p, введите пароль и выполните команды:

CREATE DATABASE spamassassin;
GRANT SELECT,INSERT,UPDATE,DELETE ON spamassassin.* TO spamassasin IDENTIFIED BY 'spamassassin';
FLUSH PRIVILEGES;

После закрытия клиента MySQL необходимо создать таблицы базы данных spamassassin:

cd /usr/local/share/doc/p5-Mail-SpamAssassin/sql
mysql -u <имя пользователя-администратора> -p spamassassin < awl_mysql.sql
mysql -u <имя пользователя-администратора> -p spamassassin < bayes_mysql.sql
mysql -u <имя пользователя-администратора> -p spamassassin < userpref_mysql.sql

После завершения создания базы данных spamassassin следует отредактировать главный файл конфигурации local.cf, по умолчанию находящийся в папке /usr/local/etc/mail/spamassassin. Содержимое данного файла приведено ниже (подробное описание всех опций, которые можно задать в файле local.cf, можно получить по команде perldoc Mail::SpamAssassin::Conf):

report_safe              0
ok_locales               en ru
trusted_networks         127. 192.168.0.
use_pyzor                1
use_razor2               1
skip_rbl_checks          0
dns_available            yes
use_bayes                1
use_bayes_rules          1
bayes_auto_learn         1
auto_whitelist_factory   Mail::SpamAssassin::SQLBasedAddrList
user_awl_dsn             DBI:mysql:spamassassin:localhost
user_awl_sql_username    spamassassin
user_awl_sql_password    spamassassin
bayes_store_module       Mail::SpamAssassin::BayesStore::SQL
bayes_sql_dsn            DBI:mysql:spamassassin:localhost
bayes_sql_username       spamassassin
bayes_sql_password       spamassassin
user_scores_dsn          DBI:mysql:spamassassin:localhost
user_scores_sql_username spamassassin
user_scores_sql_password spamassassin

Указанные параметры имеют следующие значения: report_safe – режим модификации сообщения, если оно расценено как СПАМ (в нашем случае такую модификацию выполняет Amavisd-New), ok_locales – разрешенные языки сообщений, trusted_networks – список доверенных сетей (сообщения, отправленные из этих сетей не могут быть расценены как СПАМ), use_pyzor – использовать Pyzor при проверке сообщений, use_razor2 – использовать Razor-Agents при проверке сообщений, skip_rbl_checks – отключить проверку сообщений по блэклистам (в нашем случае проверка включена), dns_available – доступность службы DNS (по умолчанию SpamAssassin проверяет доступность DNS, предполагая наличие возможных проблем с сетью, в нашем случае проверки отключены), use_bayes – использовать Bayes-алгоритмы при проверке сообщений, use_bayes_rules – использовать “родные” правила Bayes совместно с правилами, полученными в процессе обучения, bayes_auto_learn – использовать автоматическое обучение Bayes, auto_whitelist_factory – модуль доступа к источнику данных, содержащему таблицу AWL, user_awl_dsn – имя источника данных, содержащего таблицу AWL, user_awl_sql_username и user_awl_sql_password – имя пользователя и пароль для доступа к источнику данных, содержащему таблицу AWL, bayes_store_module – модуль доступа к источнику данных, содержащему таблицы Bayes, bayes_sql_dsn – имя источника данных, содержащего таблицы Bayes, bayes_sql_username и bayes_sql_password – имя пользователя и пароль для доступа к источнику данных, содержащему таблицы Bayes, user_scores_dsn – источник данных, содержащий таблицу пользовательских настроек, user_scores_sql_username и user_scores_sql_password – имя пользователя и пароль для доступа к источнику данных, содержащему таблицу пользовательских настроек. Проверить синтаксис файла local.cf можно командой spamassassin --lint.
Для включения поддержки DCC необходимо раскомментировать строку loadplugin Mail::SpamAssassin:: Plugin::DCC в файле /usr/local/etc/mail/spamassassin/v310.pre.
На данном этапе настройка SpamAssassin заканчивается. Внимание, алгоритмы Bayes начнут работать не сразу, а только после накопления достаточного количества данных, происходящего в процессе самообучения. Для максимальной эффективности SpamAssassin нужно дополнительно обучить. Для этого требуется накопить несколько сотен “нормальных” сообщений и несколько сотен сообщений, являющихся СПАМом (по умолчанию по 200 сообщений). Когда сообщения накоплены, необходимо выполнить команды:

sa-learn --ham <файл в формате mailbox / папка, содержащая сообщения в формате msg>
sa-learn --spam <файл в формате mailbox / папка, содержащая сообщения в формате msg>

Установка и настройка Amavisd-New

Установку Amavisd-New необходимо выполнить из портов:

cd /usr/ports/security/amavisd-new
make install

В окне конфигурации, которое появляется в процессе выполнения команды make install, необходимо отметить опции: [X] BDB Use BerkeleyDB for nanny/cache/snmp, [X] SPAMASSASSIN Use mail / p5-Mail-SpamAssassin, [X] File Use newer file(1) utility from ports, [X] UNRAR RAR support with archives/unrar и [X] ARJ support with archivers/arj. Если окно конфигурации не появилось, выполните команду make config. После завершения установки необходимо отредактировать файл конфигурации amavisd.conf, находящийся в папке /usr/local/etc. В моем случае данный файл имеет следующее содержимое:

use strict;
#############################################################################
# Section I - Essential daemon and MTA settings #############################
#############################################################################
$MYHOME = '/var/amavis';
$mydomain = 'domain.com';
$daemon_user = 'vscan';
$daemon_group = 'vscan';
$TEMPBASE = "$MYHOME/tmp";
$db_home = "$MYHOME/db";
$helpers_home = $MYHOME;
$pid_file = "$MYHOME/amavisd.pid";
$lock_file = "$MYHOME/amavisd.lock";
$ENV{TMPDIR} = $TEMPBASE;
$enable_db = 1;
$enable_global_cache = 1;
$forward_method = 'smtp:[127.0.0.1]:10025';
$notify_method = $forward_method;
$max_servers = 2;
$max_requests = 10;
$child_timeout= 20*60;
@local_domains_acl = (".");
#############################################################################
# Section II - MTA specific #################################################
#############################################################################
$insert_received_line = 1;
$unix_socketname = "$MYHOME/amavisd.sock";
$inet_socket_port = 10024;
@inet_acl = qw(127.0.0.1);
#############################################################################
# Section III - Logging #####################################################
#############################################################################
$DO_SYSLOG = 1;
$SYSLOG_LEVEL = 'mail.info';
$log_level = 0;
$log_recip_templ = undef;
#############################################################################
# Section IV - Notifications/DSN, bounce/reject/discard/pass, quarantine ####
#############################################################################
$hdr_encoding = 'koi8-r';
$bdy_encoding = 'koi8-r';
$final_virus_destiny = D_DISCARD;
$final_banned_destiny = D_DISCARD;
$final_spam_destiny = D_DISCARD;
$final_bad_header_destiny = D_PASS;
$warnvirussender = 0;
$warnspamsender = 0;
$warnbannedsender = 0;
$warnbadhsender = 0;
$warnvirusrecip = 0;
$warnbannedrecip = 0;
$warnbadhrecip = 0;
$warn_offsite = 0;
$virus_admin = "virusalert\@$mydomain";
$spam_admin = "spamalert\@$mydomain";
$mailfrom_notify_admin = "virusalert\@$mydomain";
$mailfrom_notify_recip = "virusalert\@$mydomain";
$mailfrom_notify_spamadmin = "spamalert\@$mydomain";
$mailfrom_to_quarantine = 'virus or spam';
$QUARANTINEDIR = '/var/virusmails';
$virus_quarantine_method = 'local:virus-%i-%n';
$spam_quarantine_method = 'local:spam-%i-%n';
$virus_quarantine_to = 'virus-quarantine';
$spam_quarantine_to = 'spam-quarantine';
$X_HEADER_TAG = 'X-Virus-Scanned';
$X_HEADER_LINE = "by Amavisd-New and ClamAV at mail.domain.com";
$remove_existing_x_scanned_headers = 1;
$remove_existing_spam_headers = 1;
#############################################################################
# Section V - Per-recipient and per-sender handling, whitelisting, etc. #####
#############################################################################
$sql_select_white_black_list = undef;
$recipient_delimiter = '+';
$localpart_is_case_sensitive = 0;
#############################################################################
# Section VI - Resource limits ##############################################
#############################################################################
$MAXLEVELS = 14;
$MAXFILES = 1500;
$MIN_EXPANSION_QUOTA = 100*1024;
$MAX_EXPANSION_QUOTA = 300*1024*1024;
$MIN_EXPANSION_FACTOR = 5;
$MAX_EXPANSION_FACTOR = 500;
$virus_check_negative_ttl = 3*60;
$virus_check_positive_ttl = 30*60;
$spam_check_negative_ttl = 30*60;
$spam_check_positive_ttl = 30*60;
#############################################################################
# Section VII - External programs, virus scanners ###########################
#############################################################################
$bypass_decode_parts = 1;
$path = '/usr/local/sbin:/usr/local/bin:/usr/sbin:/sbin:/usr/bin:/bin';
$file = 'file';
$dspam = 'dspam';
@decoders = (
  ['mail', \&do_mime_decode],
  ['asc', \&do_ascii],
  ['uue', \&do_ascii],
  ['hqx', \&do_ascii],
  ['ync', \&do_ascii],
  ['F', \&do_uncompress, ['unfreeze','freeze -d','melt','fcat'] ],
  ['Z', \&do_uncompress, ['uncompress','gzip -d','zcat'] ],
  ['gz', \&do_gunzip],
  ['gz', \&do_uncompress, 'gzip -d'],
  ['bz2', \&do_uncompress, 'bzip2 -d'],
  ['lzo', \&do_uncompress, 'lzop -d'],
  ['rpm', \&do_uncompress, ['rpm2cpio.pl','rpm2cpio'] ],
  ['cpio', \&do_pax_cpio, ['pax','gcpio','cpio'] ],
  ['tar', \&do_pax_cpio, ['pax','gcpio','cpio'] ],
  ['tar', \&do_tar],
  ['deb', \&do_ar, 'ar'],
  ['zip', \&do_unzip],
  ['rar', \&do_unrar, ['rar','unrar'] ],
  ['arj', \&do_unarj, ['arj','unarj'] ],
  ['arc', \&do_arc, ['nomarch','arc'] ],
  ['zoo', \&do_zoo, 'zoo'],
  ['lha', \&do_lha, 'lha'],
  ['cab', \&do_cabextract, 'cabextract'],
  ['tnef', \&do_tnef_ext, 'tnef'],
  ['tnef', \&do_tnef],
  ['exe', \&do_executable, ['rar','unrar'], 'lha', ['arj','unarj'] ],
);
$sa_local_tests_only = 0;
$sa_mail_body_size_limit = 256*1024;
$sa_spam_modifies_subj = 1;
$sa_spam_subject_tag = '***SPAM*** ';
$sa_tag_level_deflt = 2;
$sa_tag2_level_deflt = 8;
$sa_kill_level_deflt = 10;
@av_scanners = (
['ClamAV-Clamd',
  \&ask_daemon, ["CONTSCAN {}\n", "/var/run/clamav/clamd"],
  qr/\bOK$/, qr/\bFOUND$/,
  qr/^.*?: (?!Infected Archive)(.*) FOUND$/ ],
);
@av_scanners_backup = (
  ['ClamAV-ClamScan', 'clamscan',
  "--stdout --disable-summary -r --tempdir=$TEMPBASE {}", [0], [1],
  qr/^.*?: (?!Infected Archive)(.*) FOUND$/ ],
);
#############################################################################
# Section VIII - Debugging ##################################################
#############################################################################
@debug_sender_acl = ( "root\@$mydomain" );
$sa_debug = 0;
1;

Значения и возможные варианты задания всех параметров, содержащихся в файле amavisd.conf, достаточно подробно описаны в файле /usr/local/etc/amavisd.conf.dist. Для того, чтобы Amavisd-New корректно заработал с приведенным файлом конфигурации, достаточно изменить domain.com на FQDN Вашего домена и определить псевдонимы пользователей spamalert и virusalert в файле alieses. Если в процессе отладки возникнет необходимость полностью отключить функции защиты от СПАМа, добавьте строку @bypass_spam_checks_maps = (1);, для полного отключения защиты от вирусов предназначена строка @bypass_virus_checks_maps = (1);. Внимание, параметры $sa_tag_level_deflt (оценка, при которой к заголовкам сообщений добавляются соответствующие X-Spam-тэги), $sa_tag2_level_deflt (оценка, при которой сообщения помечаются как СПАМ), $sa_kill_level_deflt (оценка, при которой с сообщениями выполняется предопределенные действия, в нашем случае уничтожение) имеют достаточно гуманные значения, которые вполне меня устраивают. Чем сильнее Вы уменьшите эти числа, тем лучше будет фиксироваться СПАМ, но одновременно возрастет вероятность потери валидных сообщений. Лучше всего определить эти значения экспериментальным путем. Я не буду описывать все строки файла amavisd.conf. Во-первых, их слишком много, а во-вторых, их досканально описали гораздо раньше меня. Лично я пользовался статьей Создание почтовой системы на базе exim, dbmail, amavisd-new и postgresql, которую настоятельно рекомендую и Вам для осуществления более тонкой настройки Amavisd-New.
Для того, чтобы SpamAssassin, запускаемый Amavisd-New, мог использовать Pyzor и Razor-Agents необходимо переместить папки, содержащие их конфигурационные файлы, в домашнюю папку пользователя vscan, от имени которого работает Amavisd-New, и изменить их владельца:

cd /var/amavis
mv ~/.pyzor .
mv ~/.razor .
chown -R vscan:vscan .pyzor .razor

Для того, чтобы демон clamd имел доступ ко временной папке Amavisd-New, необходимо добавить пользователя clamav в группу vscan:

pw groupmod vscan -M clamav

Для того, чтобы Postfix корректно взаимодействовал с Amavisd-New, т.е. отправлял сообщения для проверки на 10024 порт локального интерфейса, который “слушает” Amavisd-New, и принимал их назад на 10025 порте локального интерфейса, необходимо добавить в файл /usr/local/etc/postfix/main.cf строки:

content_filter=smtp-amavis:[127.0.0.1]:10024
receive_override_options = no_address_mappings

и в файл /usr/local/etc/postfix/master.cf строки:

smtp-amavis unix - - n - 4 smtp
  -o smtp_data_done_timeout=1200
  -o smtp_send_xforward_command=yes
  -o disable_dns_lookups=yes
127.0.0.1:10025 inet n - n - - smtpd
  -o content_filter=
  -o local_recipient_maps=
  -o relay_recipient_maps=
  -o smtpd_restriction_classes=
  -o smtpd_client_restrictions=
  -o smtpd_helo_restrictions=
  -o smtpd_sender_restrictions=
  -o smtpd_recipient_restrictions=permit_mynetworks,reject
  -o mynetworks=127.0.0.0/8
  -o strict_rfc821_envelopes=yes
  -o smtpd_error_sleep_time=0
  -o smtpd_soft_error_limit=1001
  -o smtpd_hard_error_limit=1000

Для того, чтобы Amavisd-New запускался при загрузке операционной системы необходимо добавить в файл /etc/rc.conf строку:

amavisd_enable = "YES"

На этом настройка Amavisd-New заканчивается. Можно запустить его командой /usr/local/etc/rc.d/amavisd.sh start и посмотреть сообщения, которые пишутся в /var/log/maillog. Естественно, нужно перезапустить и Posfix. Если ошибки отсутствуют, то в заголовках сообщений теперь можно увидеть поля X-Virus-Scanned, X-Spam-Scope, X-Spam-Level и X-Spam-Status, а в папке /var/virusmails отвергнутые сообщения.

Установка и настройка Pflogsumm

Установку Pflogsumm необходимо выполнить из портов:

cd /usr/ports/mail/pflogsumm
make install

Какая-либо дополнительная настройка не требуется. Остается создать несколько скриптов, заставляющих pflogsumm формировать отчеты за заданные интервалы времени, и обеспечить их запуск с помощью cron. В моей системе ежедневный отчет обновляется каждый час в течение рабочего дня, а также один раз в начале следующего дня (чтобы добавить информацию о том, что произошло после завершения рабочего дня до полуночи включительно). Для хранения отчетов я использую папку pflogsumm, находящуюся в корневой папке одного из виртуальных хостов Apache (в моем случае этот виртуальный хост служит исключительно для доступа к различным статистическим отчетам о работе служб коммуникационного сервера, конфигурация данного виртуального хоста приведена ниже). Папка pflogsumm содержит три вложенных папки. Вложенная папка current содержит ежедневные отчеты за текущий месяц, previous – ежедневные отчеты за предыдущий месяц, archive – архивы отчетов за предыдущие месяцы (один tar.bz2-файл за каждый месяц, содержащий соответствующие ежедневные отчеты). Приведенные ниже скрипты написаны под руководством статьи Создаем почтовую систему среднего и малого офиса на основе FreeBSD Postfix + dr.web + popa3d + pflogsumm, подробно объясняющей технологию использования pflogsumm.
Для формирования / обновления ежедневных отчетов в течение рабочего дня служит скрипт account.hourly, имеющий следующее содержимое:

#!/bin/sh
srvroot=<Путь к корневой папке виртуального хоста>
echo "$srvroot/pflogsumm/current/" > /tmp/pflogsumm.name
date "+%d-%m-%Y" >> /tmp/pflogsumm.name
/usr/local/bin/pflogsumm -d today /var/log/maillog --smtpd_stats --mailq --problems_first --rej_add_from --verbose_msg_detail --iso_date_time > `tr -d "\n" < /tmp/pflogsumm.name`
rm /tmp/pflogsumm.name

Для обновления ежедневных отчетов в начале следующего дня служит скрипт account.daily, имеющий следующее содержимое:

#!/bin/sh
srvroot=<Путь к корневой папке виртуального хоста>
/usr/bin/zcat /var/log/maillog.0.gz > /tmp/pflogsumm.maillog
echo "$srvroot/pflogsumm/current/" > /tmp/pflogsumm.name
date -v-1d "+%d-%m-%Y" >> /tmp/pflogsumm.name
/usr/local/bin/pflogsumm -d yesterday /tmp/pflogsumm.maillog --smtpd_stats --mailq --problems_first --rej_add_from --verbose_msg_detail --iso_date_time > `tr -d "\n" < /tmp/pflogsumm.name`
rm /tmp/pflogsumm.maillog
rm /tmp/pflogsumm.name

Для упаковки ежедневных отчетов за предыдущий месяц и переноса их в архив, а также для переноса отчетов за текущий месяц в папку отчетов за предыдущий месяц в первый день месяца служит скрипт account.monthly, имеющий следующее содержимое:

#!/bin/sh
arcdate=$(date -v-2m "+%m.%Y")
srvroot=<Путь к корневой папке виртуального хоста>
cd $srvroot/pflogsumm/previous
/usr/bin/tar -cf $srvroot/pflogsumm/archive/pflogsumm.$arcdate.tar --remove-files *
/usr/bin/bzip2 -f9 $srvroot/pflogsumm/archive/pflogsumm.$arcdate.tar
mv $srvroot/pflogsumm/current/* $srvroot/pflogsumm/previous

Для того, чтобы описанные скрипты запускались в нужное время (account.hourly ежедневно в 8:45, 9:45…20:45, account.daily ежедневно в 0:30, account.monthly ежемесячно 1 числа в 1:15), необходимо добавить в файл /etc/crontab строки:

45 8-20 * * * root <Путь к скрипту>/account.hourly
30 0    * * * root <Путь к скрипту>/account.daily
15 1    1 * * root <Путь к скрипту>/account.monthly

Конфигурация виртуального name-based хоста для доступа к статистическим отчетам имеет следующий вид:

<VirtualHost <IP-адрес>:80>
  ServerName stat.company.com
  DocumentRoot /data/httpd/stat-company-com/html
  ErrorLog /data/httpd/stat-company-com/logs/httpd-error.log
  CustomLog /data/httpd/stat-company-com/logs/httpd-access.log combined
  <Directory /data/httpd/stat-company-com/html/>
    AuthName "This server require authorization"
    AuthUserFile /usr/local/etc/apache/htpasswd
    AuthType Basic
    Require user <Список пользователей, которым разрешен доступ>
    Options Indexes
    Order deny,allow
    Deny from all
    Allow from ...
    Allow from ...
  </Directory>
</VirtualHost>

Вам нужно заменить stat.company.com на FQDN Вашего сервера, поставить реальные IP-адреса и добавить необходимых пользователей в файл htpasswd и в директиву Require user. О том, как это сделать, подробно написано в разделе Authentication, Authorization, and Access Control официальной документации Apache.
На этом настройка pflogsumm заканчивается. Остается перезапустить Apache командой apachectl restart. Теперь Вы можете в любой момент времени посмотреть состояние почтовой системы через браузер. Однако, если отчеты, сформированные pflogsumm, увидит руководство, в лучшем случае Вы заметите легкий испуг, в худшем – недоверие к Вам, как к специалисту.

Установка и настройка AWStats

Установку AWStats необходимо выполнить из портов:

cd /usr/ports/www/awstats
make install

Внимание, в моей системе папка, содержащая компоненты AWStats, находится в папке /usr/local, поэтому не забудьте исправить соответствующие пути в файлах конфигурации AWStats и Apache. Также не забудьте исправить stat.company.com и company.com на FQDN Вашего сервера и домена. Отчет AWStats о работе почтового сервера обновляется каждый час в течение рабочего дня, а также один раз в начале следующего дня (чтобы добавить информацию о том, что произошло после завершения рабочего дня до полуночи включительно). В связи с этим используются два файла конфигурации, которые в соответствующие моменты времени копируются в файл /etc/awstats/awstats.mail.conf.
Файл конфигурации /etc/awstats/awstats.postfix.conf, используемый при выполнении команд обновления базы данных AWStats в течение рабочего дня, имеет следующее содержимое:

#############################################################################
# MAIN SETUP SECTION
#############################################################################
LogFile="/usr/local/awstats/tools/maillogconvert.pl standard < /var/log/maillog |"
LogType=M
LogFormat="%time2 %email %email_r %host %host_r %method %url %code %bytesd"
DirData="/data/httpd/awstats"
DirCgi="/awstats"
DirIcons="/awstatsicons"
SiteDomain="mail.company.com"
HostAliases="127.0.0.1 localhost REGEX[company\.com$]"
AllowFullYearView=3
AllowToUpdateStatsFromBrowser=0
#############################################################################
# OPTIONAL ACCURACY SETUP SECTION
#############################################################################
LevelForBrowsersDetection=0
LevelForOSDetection=0
LevelForRefererAnalyze=0
LevelForRobotsDetection=0
LevelForWormsDetection=0
LevelForSearchEnginesDetection=0
LevelForFileTypesDetection=0
#############################################################################
# OPTIONAL APPEARANCE SETUP SECTION
#############################################################################
UseFramesWhenCGI=0
ShowSummary=HB
ShowMonthStats=HB
ShowDaysOfMonthStats=HB
ShowDaysOfWeekStats=HB
ShowHoursStats=HB
ShowDomainsStats=0
ShowHostsStats=HBL
ShowAuthenticatedUsers=0
ShowRobotsStats=0
ShowEMailSenders=HBML
ShowEMailReceivers=HBML
ShowSessionsStats=0
ShowPagesStats=0
ShowFileTypesStats=0
ShowFileSizesStats=0
ShowBrowsersStats=0
ShowOSStats=0
ShowOriginStats=0
ShowKeyphrasesStats=0
ShowKeywordsStats=0
ShowMiscStats=0
ShowHTTPErrorsStats=0
ShowSMTPErrorsStats=1
#############################################################################
# PLUGINS
#############################################################################
LoadPlugin="decodeutfkeys"

Основное внимание следует уделить параметрам данного файла, содержащимся в секции MAIN SETUP SECTION. Эти параметры имеют следующие значения: LogFile – местонахождение лог-файла, используемого для получения данных, LogType – тип используемого лог-файла (в нашем случае лог-файл почтового сервера), LogFormat – формат используемого лог-файла (подробное описание данного параметра приведено в документе AWStats configuration directives / options), DirData – местонахождение базы данных AWStats, DirCgi – виртуальный путь (относительно FQDN сервера, через который осуществляется доступ к отчетам) к папке с CGI-скриптами AWStats, DirIcons – виртуальный путь (относительно FQDN сервера, через который осуществляется доступ к отчетам) к папке с пиктограммами, используемыми в отчетах AWStats, SiteDomain – “главное” FQDN сервера, HostAliases – все имена-псевдонимы сервера, AllowFullYearView – разрешение CLI и CGI формирования годовых отчетов (параметр предназначен для экономии процессорного времени, по умолчанию разрешено формирование только через командную строку, в нашем случае, как через командную строку, так и через браузер, т.к. особых тормозов ни в том, ни в другом случае я не заметил), AllowToUpdateStatsFromBrowser – разрешение обновления статистики через браузер (в нашем случае отключено по соображениям безопасности). Параметры, содержащиеся в секциях OPTIONAL ACCURACY SETUP SECTION и OPTIONAL APPEARANCE SETUP SECTION, задают некоторые режимы работы AWStats и внешний вид отчетов. Скорее всего Вам не придется изменять их значения. В разделе PLUGINS включен единственный плагин, предназначенный для корректного отображения UTF-символов в отчетах.
Для ежечасного обновления базы данных в течение рабочего дня необходимо добавить в скрипт account.hourly, рассмотренный выше, строки:

cp /etc/awstats/awstats.postfix.conf /etc/awstats/awstats.mail.conf
/usr/local/awstats/cgi-bin/awstats.pl -config=mail -update

Файл конфигурации /etc/awstats/awstats.postfix2.conf, используемый при выполнении команды обновления базы данных AWStats в начале следующего дня, отличается от рассмотренного выше только значением параметра LogFile, которое связано с автоматической ротацией лог-файлов почтового сервера. Параметр LogFile в данном случае должен иметь значение:

"/usr/bin/gzip -cd /var/log/maillog.0.gz | /usr/local/awstats/tools/maillogconvert.pl standard |"

Для обновления базы данных AWStats в начале следущего дня необходимо добавить в скрипт account.daily, рассмотренный выше, строки:

cp /etc/awstats/awstats.postfix2.conf /etc/awstats/awstats.mail.conf
/usr/local/awstats/cgi-bin/awstats.pl -config=mail -update

Затем необходимо добавить в конфигурацию виртуального хоста, предназначенного для доступа к отчетам AWStats следующие строки:

Alias /js/ "/usr/local/awstats/js/"
Alias /awstatsclasses "/usr/local/awstats/classes/"
Alias /awstatscss "/usr/local/awstats/css/"
Alias /awstatsicons "/usr/local/awstats/icons/"
ScriptAlias /awstats/ "/usr/local/awstats/cgi-bin/"
RedirectPermanent /awstats/mail http://stat.company.com/awstats/awstats.pl?config=mail

Директивы Alias и ScriptAlias задают виртуальные пути (относительно FQDN сервера, через который осуществляется доступ к отчетам) к папкам, содержащим компоненты, используемые в отчетах AWStats, директива RedirectPermanent используется для повышения удобства (по умолчанию для доступа к отчету AWStats о работе почтовой системы в браузере требуется ввести URL http://stat.company.com/awstats/awstats.pl?config=mail, в нашем случае – http://stat.company.com/awstats/mail). На этом настройка AWStats заканчивается. Остается перезапустить Apache и продемонстрировать руководству, как работает вверенная Вам почтовая система. Лично я не пользуюсь отчетами AWStats (применительно к почтовой системе, хотя, например, для анализа статистики доступа к Web-серверам AWStats, как мне кажется, незаменим), т.к. меня не беспокоит, кому и сколько писем отправляют менеджеры, однако, для укращения темперамента некоторых личностей красивые отчеты AWStats просто необходимы.

Заключение

Кажется, я написал все, что хотел или все, что вспомнил. Наверняка многие части описанной конфигурации можно оптимизировать и повысить их эффективность, что я возможно и сделаю, благодаря Вашим советам. Время показало, что статья оказалось в той или иной степени полезной многим IT-специалистам, столкнувшимся с проблемой борьбы со СПАМом. Если в процессе настройки у Вас возникнут проблемы, внимательно анализируйте лог-файлы и читайте обсуждение cтатьи на форуме OpenNET. Если ничего не помогает, задавайте мне вопросы, попробуем решить проблему вместе.