Postfix Policyd

Postfix Policyd

Yöneticisi olduğum bir sunucudan mail gönderilme sorunu yaşanıyordu. Girdim baktım ki bir kullanıcıdan 30 bine yakın mail gönderilmiş ve her an gönderilmeye devam ediyor..

Kullanıcı smtp auth ile login olmuş ve legal durumda.. Muhtemelen bilgisayarındaki virus yüzünden ya da smtp login bilgileri ele geçirildiği için böyle bir durum yaşanmış ancak sonuçları açısından durum biraz vahim

Sözü fazla uzatmadan bu durumlar için bir çözüm yolunu sizlere paylaşmak istiyorum..

Mail sunucuda posta gönderim veya alımların limitlendirilmesi ve izlenmesi..

Postfix sunucuda Policyd kurulumu yapıp Policyd uygulaması ile bu işi çözeceğiz..

//Kurulum için dosyayı indirelim

//Gerekli Dizinleri oluşturalım

//Gerekli dizinleri ve dosyaları ilgili yerlere kopyalayalım

//Policyd için kullanıcı oluşturalım ve haklarını düzenleyelim

//Config dosyasında mysql bilgilerini girelim. (/etc/cluebringer.conf)

Mysql server üzerinde policyd kullanıcısı oluşturdum ve policyd veritabanına yetkilendirdim..

Kurulum sırasından Centos5 de bazı problemler yaşadım.. Bunlar genellikle perl modulleri ile ilgili sorunlardı.. Aşağıdaki adımlarla sorunları çözdüm..

wget http://packages.sw.be/rpmforge-release/rpmforge-release-0.5.2-2.el5.rf.x86_64.rpm rpm -Uvh rpmforge-release-0.5.2-2.el5.rf.x86_64.rpm yum –enablerepo=rpmforge install perl-Net-Server

perl -MCPAN -e ‘install Perl::OSType’ perl -MCPAN -e ‘install Module::Build’; cpan install Config::IniFiles cpan install Cache::FastMmap cpan install mail::SPF

//MYSQL yapılandırması için web arabirimini ilgili konuma kopyalayalım:

//domain.com/webui adresinden sayfaya erişiyor olmamız gerek..

//Mysql bağlantı bilgileri – Web arabirimi için

#vi /var/www/vhosts/httpdocs/domain.com/webui/includes/config.php

//config.php db ayarı

//Veritabanını oluşturalım

#cd cluebringer-v2.1.x-201211111115/database

#for i in core.tsql access_control.tsql quotas.tsql amavis.tsql checkhelo.tsql checkspf.tsql greylisting.tsql accounting.tsql

do

./convert-tsql mysql $i done > policyd.sql

policyd.sql dosyasını phpmyadmin yada mysql üzerinden policyd veritabanımıza import edelim..

//Policyd başlatalım

Tüm ayarlarımız tamamlandığında

#cluebringer-v2.1.x-201211111115/contrib/initscripts/Fedora/cbpolicyd start

komutu ile policyd başlatalım. sistem açılırken policyd nin aktif olması için de dosyayı init.d ye kopyalayalım..

#cp cluebringer-v2.1.x-201211111115/contrib/initscripts/Fedora/cbpolicyd /etc/init.d/

//Policyd’nin postfixe tanıtılması postfix main.cf de

smtpd_recipient_restrictions = check_policy_service inet:127.0.0.1:10031,permit_mynetworks,…..

en başa check_policy_service inet:127.0.0.1:10031 ekleyelim sonraki komutlara virgülden sonra devam edebiliriz.. Başa eklenmesi önemli..

postfix restart ettiğimizde artık policyd aktif olacak.. Bundan sonraki aşamada web arabiriminden işlemlerimizi yapacağız…

Policyd başlattığımızda hataları /var/log/cbpolicyd/cbpolicyd.log dosyasından kontrol edebiliriz..

domain.com/webui

Policies/Main

Bu ekranda default policy tanımları mevcut.. Bu tanımlar üzerinden işlem yapabiliriz.. Biz gönderilen postalara kota koyacağız o nedenle Default Outbound Policy kullanacağız..

Policies/Groups

Default tanımlarda kullanılan grup ayarları. Yani default outbond policy seçtiğimizde internal_domains ve internal_ips grubundaki üyeler için policy uygulanacak.. Domainlere kota koymak için internal_domains üyelerini seçmemiz gerekecek..

Sadece defsad.org domaini için policy uygulanacak…

Quotas kısmında kota belirleyeceğiz.. ve seçili kota tanımlamasına limit koyacağız..

Kota ekleme.

Default Outbound : Giden mailler için policy uygulanacak(internal_domainsde yazan domain listesi için..) Track : sender@domain : Gönderenin mail adresine göre filtreleme yapar..

Saslusername:username : Smtp auth ile login olmuş mail hesaplarına policy uygular.. Bu seçenek daha mantıklı çünkü mail gönderen kişi mail adresi kısmını değiştirdiğinde sender@domain filtresini atlayacaktır, saslusername:username seçeneğinde ise böyle bir durum söz konusu olamaz..

Period : 3600 ( Saatlik periyotta policy geçerli olacaktır.)

Verdict : Reject( Maili geri gönderiyoruz.. 501 hatası ile birlikte..)

Disabled : İlk policy oluşturulduğunda yes seçeneği aktif gelir. Bu nedenle policy güncelleyip no yapmamız gerek.

Seçili kotaya limit ekleyelim.

Mesaj sayısı 3ü geçmeyecek..

Yani özetle defsad.org domaininden bir kullanıcı saatte 3 adet mail gönderebilir.. Daha sonra hata mesajı ile mail geri döner..

ahmetorhan@yahoo.com 2013