====== 打造安全的 SMTP Server - Postfix + SASL + TLS + SpamAssassin + DNSBL ======
FreeBSD

轉載自：  http://blog.bojack.idv.tw/index.php/archives/389

-----------

用 Postfix 用蠻久了，這次將過去的筆記都整理上來，以備不時之需。目前的環境是 FreeBSD 6.2 PRELEASE，要將本來的 Sendmail 換成 Postfix ，並且讓它支援身份驗證、加密傳輸與垃圾郵件過濾的功能。

1. 安裝 Postfix 主程式


首先我們要安裝 Postfix ，先更新 ports 後，直接切換到目錄後安裝

    # cd /usr/ports/mail/postfix
    # make install clean

在 Postfix configureation options 的選項我是勾選 SASL、TLS、OPENLDAP 這三個選項。SASL 是用來做身份驗證，TLS 是支援加密傳輸，而 OPENLDAP 是未來要試著將它們二者結合在一起，未來完成後會將筆記寫上來。選好後就按 OK 吧，而在安裝 Cyrus-sasl 時，只要勾選 pwcheck 就行了，然後再繼續往下跑，安裝到後面，會出現一行

    Would you like to activate Postfix in /etc/mail/mailer.conf [n]?

在這邊我是選 y 然後按 Enter 下去，大致上 Postfix 安裝就到此結束了。接下來我們要設定一下，開機後是使用 Postfix「>Postfix 來當我們主要的 MTA，必須到 /etc/rc.conf 加入下面幾行。

    sendmail_enable="YES"
    sendmail_flags="-bd"
    sendmail_outbound_enable="NO"
    sendmail_submit_enable="NO"
    sendmail_msp_queue_enable="NO"

然後再去 /etc 目錄下新增一個 periodic.conf 檔案，加入下面四行設定並存檔

    daily_clean_hoststat_enable="NO"
    daily_status_mail_rejects_enable="NO"
    daily_status_include_submit_mailq="NO"
    daily_submit_queuerun="NO"

2. 設定 pwcheck

完成之後，我們要來設定 pwcheck 了。我們要讓 Postfix「>Postfix 的 smtpd 可以 access 到 /var/pwcheck/pwcheck，必須修改/etc/group，讓 postfix 這個 user 成為 cyrus 這個 group 的一員。 用你習慣用的 editor 修改 /etc/group 這個檔案，將 cryus 最後面以逗號為分隔，增加 postfix 這個 user，像這樣：

    cyrus:*:60:postfix

3. 設定 cryus-sasl

新增 /usr/local/lib/sasl/smtpd.conf 這個檔案，放入下面這行：

    pwcheck_method: pwcheck

4. 設定 postfix 裡面 SASL 與 TLS 的參數

這些是我慣用的參數，請視情況調整自己該用的參數喔！

    #
    # Basic Config
    #
    myhostname = dns.bojack.idv.tw
    mydomain = bojack.idv.tw
    mydestination = $myhostname, localhost.$mydomain $mydomain
    relay_domains = $mydestination
    alias_maps = hash:/usr/local/etc/postfix/aliases
    message_size_limit = 250000000
    mailbox_size_limit = 400000000

    #
    # SASL Config & DNSBL Config
    #
    smtpd_recipient_restrictions = permit_sasl_autheNticated,permit_mynetworks,reject_unauth_de
    stination,reject_rbl_client dialup.ecenter.idv.tw, reject_rbl_client relays.ordb.org,reject
    _rbl_client spam.ecenter.idv.tw, reject_rbl_client or.ecenter.idv.tw
    smtpd_client_restrictions = permit_sasl_authenticated
    smtpd_sasl_auth_enable= yes
    broken_sasl_auth_clients = yes
    smtpd_sasl_security_options= noanonymous

    #
    # TLS Config
    #
    smtp_use_tls = yes
    smtpd_use_tls = yes
    smtp_tls_note_starttls_offer = yes
    smtpd_tls_key_file = /path/to/your/key
    smtpd_tls_cert_file = /path/to/your/crt
    smtpd_tls_CAfile = /path/to/your/ca
    smtpd_tls_loglevel = 1
    smtpd_tls_received_header = yes
    smtpd_tls_session_cache_timeout = 3600s
    tls_random_source = dev:/dev/urandom

5. 安裝 SpamAssassin

    # cd /usr/ports/mail/p5-Mail-SpamAssassin/
    # make install clean

接下來去設定 SpamAssassin 的設定檔，把它放在 /usr/local/etc/mail/spamassassin 裡面並且命名為 local.cf 即可，參考下面的文字。

    #多少分才判為 SPAM
    required_hits 6

    #若為 SPAM，是否設修改主旨\

    rewrite_subject 1
    #修改主旨為 (當 rewrite_subject 是 1 的時候才會有用)
    rewrite_header Subject ***SPAM***

    # Encapsulate spam in an attachment
    report_safe 1

    # Use terse version of the spam report
    use_terse_report 1

    # Enable the Bayes system
    use_bayes 1

    # Enable Bayes auto-learning
    auto_learn 1

    # Enable or disable network checks
    skip_rbl_checks 0
    use_razor2 1
    use_dcc 1
    use_pyzor 1

    # Mail using languages used in these country codes will not be marked
    # as being possibly spam in a foreign language.
    # - chinese english japanese
    ok_languages zh en
    # Mail using locales used in these country codes will not be marked
    # as being possibly spam in a foreign language.
    ok_locales zh en

    # Whitelist
    whitelist_from *@yahoo.com.tw *@gmail.com *@msn.com *@hotmail.com

    score HEADER_8BITS 0
    score HTML_COMMENT_8BITS 0
    score SUBJ_FULL_OF_8BITS 0
    score UPPERCASE_25_50 0
    score UPPERCASE_50_75 0
    score UPPERCASE_75_100 0
    score HEAD_ILLEGAL_CHARS 0
    score SUBJ_ILLEGAL_CHARS 0

然後我們要來新增一個 spamfilter 使用者，主要是要讓 spamd 來使用，把這個帳號設為不能登入，再來我們要產生一個 filter.sh 去處理，也是一樣參考下面這些資訊，並且放在 /usr/local/sbin 裡面。

    #!/bin/sh
    exec /usr/local/bin/spamc -d 127.0.0.1 -f -p 783 -t 30 -e /usr/sbin/sendmail -i "$@"
    exit $?

記得要把它的權限設定為 755

    chmod 755 /usr/local/sbin/filter.sh

6. 設定 master.cf

接下來來設定 Postfix 的部份，若先前有加 header_checks 或 body_checks 的話，請記得在 main.cf 加上註解。再設定 master.cf，主要是修改二行設定，並且再加入一行過濾的設定。
修改的部份如下：

    smtp inet n - n - - smtpd -o content_filter=postfixfilter
    smtp unix - - n - - smtp -o content_filter=postfixfilter
    smtps inet n - n - - smtpd -o smtpd_tls_wrappermode=yes -o smtpd_sasl_auth_enable=yes

新增這一行：

    postfixfilter unix - n n - - pipe flags=Rq user=spamfilter argv=/usr/local/sbin/filter.sh -f ${sender} — ${recipient}

7. 啟動所有的 Service 吧
在 /etc/rc.conf 加入一行，在開機的時候啟動 SpamAssassin。

    spamd_enable=」YES」

馬上啟動這些 Service：

    /usr/local/etc/rc.d/sa-spamd start
    /usr/local/etc/rc.d/cyrus_pwcheck.sh start
    postfix start