Hello,
Comme tout postadmin, j’utilise RBL pour bloquer le plus gros des déchets qui circulent, mais je vois encore des choses, très peu, arriver.
A la base, dans mon setup j’avais choisi d’utiliser le blocage par Postscreen, pour éliminer l’essentiel avant de commencer tout traitement dans postfix lui même (l’intérêt, donc, de postscreen) et économiser ainsi en CPU, en utilisant des règles comme celles-ci :
postscreen_access_list = permit_mynetworks, cidr:/etc/postfix/postscreen_access.cidr
postscreen_blacklist_action = drop
postscreen_dnsbl_sites =
zen.spamhaus.org*3
dbl.spamhaus.org
bl.spamcop.net*2
cbl.abuseat.org
dnsbl-1.uceprotect.net
multi.uribl.com
Mais aujourd’hui, je me demande si je ne peux pas quand même coupler ça avec smtpd_recipient_restrictions, pour traiter ce qui serait éventuellement quand même passer. J’ai donc bricolé les règles suivantes :
smtpd_recipient_restrictions =
permit_mynetworks,
permit_sasl_authenticated,
reject_rhsbl_helo zen.spamhaus.org,
reject_rhsbl_helo dbl.spamhaus.org,
reject_rhsbl_helo rbl.realtimeblacklist.com,
reject_rhsbl_reverse_client zen.spamhaus.org,
reject_rhsbl_reverse_client rbl.realtimeblacklist.com,
reject_rhsbl_reverse_client dbl.spamhaus.org,
reject_rhsbl_sender zen.spamhaus.org,
reject_rhsbl_sender rbl.realtimeblacklist.com,
reject_rhsbl_sender dbl.spamhaus.org,
reject_rbl_client zen.spamhaus.org,
reject_rbl_client rbl.realtimeblacklist.com,
# reject_rbl_client dbl.spamhaus.org ==> faux positif avec gmail
reject_non_fqdn_recipient,
reject_unauth_destination,
reject_unknown_recipient_domain
Que pensez-vous de l’utilisation des deux ? Mieux vaut utiliser plus l’un que l’autre (dans mon esprit, Postscreen seul est sensé être plus efficace) ? Peut-on optimiser ce setup ?