FreeSource : Документация/Postfix/examples/vvk

disable_vrfy_command = yes
smtpd_helo_required = yes
smtpd_reject_unlisted_sender = yes # реджектить мыло с левыми (несуществующими) адресами из наших доменов

smtpd_restriction_classes = permit_bad_helo, pass_postmaster
permit_bad_helo = reject_unauth_destination, permit
pass_postmaster = permit_mynetworks,
    permit_sasl_authenticated,
    reject_unauth_destination,
    check_policy_service inet:127.0.0.1:60000,
    permit

smtpd_etrn_restrictions = permit_mynetworks,
        reject

smtpd_helo_restrictions = permit_sasl_authenticated,
    permit_mynetworks,
    check_client_access cdb:/etc/postfix/helo_exceptions.hosts, # для указанных хостов проверки helo не производятся - вайтлист по ip/hostname
    check_helo_access cdb:/etc/postfix/helo_checks, # проверки на кошерность helo
    check_helo_access pcre:/etc/postfix/helo_checks.pcre, # regexp-проверки на кошерность helo
    reject_unknown_helo_hostname,
    reject_invalid_helo_hostname,
    reject_non_fqdn_helo_hostname,

smtpd_client_restrictions = permit_sasl_authenticated,
        permit_mynetworks

smtpd_recipient_restrictions = reject_unknown_recipient_domain, # первым делом режем всё что идёт на нерезолвящиеся домены, в т.ч. и от локалных юзеров. очень помогает от опечаток ;-)
    reject_non_fqdn_recipient,
    reject_non_fqdn_sender,
    reject_unknown_sender_domain,
    check_sender_mx_access cidr:/etc/postfix/bogus_mx, # проверяем, а не находится ли MX домена отправителя в серой сетке
    check_recipient_mx_access cidr:/etc/postfix/bogus_mx, # проверяем, а не находится ли MX домена получателя в серой сетке
    reject_unlisted_recipient, # реджектить мыло на несуществующих юзеров дабы не тыркать попусту policy servers и т.п.
    permit_sasl_authenticated,
    permit_mynetworks,
    reject_unauth_destination, # предотвращаем какой-либо open-relaying для прописанных в вайтлисты ниже хостов
    check_recipient_access pcre:/etc/postfix/recipient_checks.pcre, # тут у нас пара правил для пропуска мыла на postmaster и abuse в обход нижеслудующих рестрикшенов
    check_client_access cdb:/etc/postfix/access_permit, # с этих хостов принимаем мыло. вайтлист.
    check_client_access cdb:/etc/postfix/access_deny, # ручками режем неугодные хосты
    check_client_access cdb:/etc/spam_check/blocklist/block_list.txt, # spam-check
    check_client_access cdb:/etc/spam_check/blocklist/block_list_arc.txt, # spam-check
    check_sender_access cdb:/etc/postfix/access_senders, # режем отдельных товарищей по envelope-from
    check_policy_service unix:private/policy, # policyd-weight
    check_policy_service inet:127.0.0.1:60000, # postgrey

smtpd_data_restrictions = reject_unauth_pipelining,
    check_policy_service inet:127.0.0.1:60000,
    reject_multi_recipient_bounce

smtpd_soft_error_limit = 3
smtpd_hard_error_limit = 10
smtpd_error_sleep_time = 30s

helo_exceptions.hosts – для указанных хостов проверки helo не производятся – вайтлист по ip/hostname

relay.tmn.ru permit_bad_helo 212.96.204.68 permit_bad_helo 80.91.16.138 permit_bad_helo 217.115.148.91 permit_bad_helo #82.211.136.12 permit_bad_helo 213.170.73.146 permit_bad_helo mx.catltd.ru permit_bad_helo adm.k26.ru permit_bad_helo

helo_checks – проверки helo

my.ip.add.ress REJECT Don't use my own IP address in brackets localhost REJECT Localhost is not a valid helo response mydomain REJECT You are not mydomain

helo_checks.pcre – проверки helo (pcre)

/^[0-9.]+$/ REJECT Your software is not RFC 2821 compliant: EHLO/HELO must be a domain or an address-literal (IP enclosed in []) - not a naked IP.

recipient_checks.pcre – прогоняем мыло на postmaster/abuse через custom restriction class pass_postmaster

/^postmaster\@/ pass_postmaster /^abuse\@/ pass_postmaster

access_deny – сюда прописываем плохие, негодные хосты, с которых не надо принимать мыло

swip.net REJECT swipnet.se REJECT tele2.se REJECT

access_permit – с этих хостов принимаем мыло. вайтлист.

mail.ru OK tyumen.ru OK vsluh.ru OK tura.ru OK yandex.ru OK gmail.com OK spamcop.net OK rambler.ru OK egroups.com OK scd.yahoo.com OK dcn.yahoo.com OK sc5.yahoo.com OK net.rol.ru OK subscribe.ru OK googlegroups.com OK server.dns-redirect.com OK e-mail.ru OK pochta.ru OK 195.161.118.50 OK wall.epn.ru OK t-x.dignus.nl OK sbtx.tmn.ru OK ns.usro.askar.ru OK optivera.convex.ru OK optivera.ur.r OK relay1.mplik.ru OK 82.147.80.50 OK 80.91.16.138 OK 195.133.70.146 OK astral.intramail.ru OK ds124.masterhost.ru OK 217.115.148.91 OK 85.15.146.2 OK

access_senders – режем отдельных товарищей по envelope-from

hodokco@h11.prohosting.com.ua 550 Our users do not want receive mail from you notspam@rambler.ru 550 Users reported spam from this address haidee@utahrealtors.com 550 Our users do not want receive mail from you

bogus_mx – проверка кошерности IP-адреса MX-хостов для домена в MAIL FROM / RCPT TO

255.255.255.255 550 Domain MX in world broadcast address 0.0.0.0/8 550 Domain MX in block that refer to source hosts on "this" network (RFC 1700) 10.0.0.0/8 550 Domain MX in RFC 1918 private network 127.0.0.0/8 550 Domain MX in loopback network 169.254.0.0/16 550 Domain MX in link local network 172.16.0.0/12 550 Domain MX in RFC 1918 private network 192.0.2.0/24 550 Domain MX in TEST-NET network 192.168.0.0/16 550 Domain MX in RFC 1918 private network 224.0.0.0/4 550 Domain MX in class D multicast network 240.0.0.0/5 550 Domain MX in class E reserved network 248.0.0.0/5 550 Domain MX in reserved network

См. также RFC-3330

FreeSource: Документация/Postfix/examples/vvk