Blog de Javi

Afortunadamente podemos bloquear grandes cantidades de spam al nivel del MTA, por ejemplo usando listas negras, corriendo pruebas en el dominio de donde proviene el correo y hacia donde va, etc.

El hacer esto no te garantiza que va a funcionar para ti.

Esto es simplemente una guia rápida de como configurar postfix 2.x para bloquear el spam antes de que entre al servidor. Sin embargo antes de aplicar esto a tu servidor de correo revisa los logs para estar seguro que no estas bloqueando correo legitimo.

Lo primero vamos a editar el archivo main.cf que generalmente se encuentra en /etc/postfix, lo puedes editar con tu editor favorito, agrega las siguientes lineas al final o reemplaza las si ya existen.

smtpd_helo_required = yes
disable_vrfy_command = yes
strict_rfc821_envelopes = yes
invalid_hostname_reject_code = 554
multi_recipient_bounce_reject_code = 554
non_fqdn_reject_code = 554
relay_domains_reject_code = 554
unknown_address_reject_code = 554
unknown_client_reject_code = 554
unknown_hostname_reject_code = 554
unknown_local_recipient_reject_code = 554
unknown_relay_recipient_reject_code = 554
unknown_sender_reject_code = 554
unknown_virtual_alias_reject_code = 554
unknown_virtual_mailbox_reject_code = 554
unverified_recipient_reject_code = 554
unverified_sender_reject_code = 554

smtpd_recipient_restrictions =
reject_invalid_hostname,
reject_unknown_recipient_domain,
reject_unauth_pipelining,
permit_mynetworks,
permit_sasl_authenticated,
reject_unauth_destination,
reject_rbl_client multi.uribl.com,
reject_rbl_client dsn.rfc-ignorant.org,
reject_rbl_client list.dsbl.org,
reject_rbl_client sbl-xbl.spamhaus.org,
reject_rbl_client bl.spamcop.net,
reject_rbl_client dnsbl.sorbs.net,
reject_rbl_client cbl.abuseat.org,
reject_rbl_client ix.dnsbl.manitu.net,
reject_rbl_client combined.rbl.msrbl.net,
reject_rbl_client rabl.nuclearelephant.com,
permit

En las lineas que hemos agregado estamos agregando algunas politicas para el uso de listas RBL (Listas que recaban IP de spamers) el problema de estas listas es que muchas veces listan servidores que si son validos (no spamers), pero es una pratica que ayuda a nuestro servidor mucho, también estamos agregando politicas en las que no permitimos correo de servidores que no tienen un hostname valido y por ultimo rechazamos todo el correo que no valla a un destinatario conocido o valido en nuestro servidor. Con esto estamos rechazando la mayor parte de correo de apmers que aunque todabia se nos va a colar un poco ya no es tanto como el que estabamos recibiendo.

Reinicia el postfix para aplicar las nuevas reglas.

# postfix reload

Fuente: El espacio Abasme

En esta guia voy a explicar el proceso de instalar el soporte WebDAV para Apache 2.2.x en Gentoo.

Si ya tenemos Apache instalado, deberemos asegurarnos que tiene soporte para los modulos que necesitamos. Estos modulos son:

• dav
• dav_fs
• auth_digest
• authn_file
• setenvif

Si no estamos seguro si estan instalados o no, ejecutaremos el siguiente comando.

APACHE2_MODULES="dav dav_fs auth_digest authn_file setenvif" emerge -av apache

De esta manera compilaremos e instalaremos apache con soporte para WebDAV. Si quieres que en posteriores actualizaciones de Apache siempre se tenga el soporte, añade la siguiente linea en /etc/make.conf

APACHE2_MODULES="dav dav_fs auth_digest authn_file setenvif"

Una vez instalado Apache, deberemos decirle que cargue ciertos modulos. Para ello editamos el archivo /etc/conf.d/apache2 y en la linea de opciones de Apache (APACHE2_OPTS) añadimos los modulos quedando un estilo a lo siguiente:

APACHE2_OPTS="-D DEFAULT_VHOST -D DAV -D AUTH_DIGEST"

Una vez hecho esto, nos vamos a editar el archivo /etc/apache2/modules.d/45_mod_dav.conf para que quede un estilo a lo siguiente:

<IfDefine DAV>
<IfModule dav_module>
<IfModule dav_fs_module>
DavLockDB "/var/lib/dav/lockdb"

# The following example gives DAV write access to a directory called
# "uploads" under the ServerRoot directory.
<IfModule auth_digest_module>
<IfModule authn_file_module>

<Directory /var/www/localhost/htdocs/dav>
Dav On
Options none
AllowOverride None
Order allow,deny
Allow from all
<Limit GET PUT POST DELETE PROPFIND PROPPATCH MKCOL COPY MOVE LOCK UNLOCK>
AuthType Digest
AuthName "DAV-upload"
AuthUserFile "/var/www/localhost/htdocs/dav/.htpasswd-dav"
Require valid-user
</Limit>
</Directory>

</IfModule>
</IfModule>

</IfModule>
</IfModule>

# The following directives disable redirects on non-GET requests for
# a directory that does not include the trailing slash.  This fixes a
# problem with several clients that do not appropriately handle
# redirects for folders with DAV methods.
<IfModule setenvif_module>
BrowserMatch "Microsoft Data Access Internet Publishing Provider" redirect-carefully
BrowserMatch "MS FrontPage" redirect-carefully
BrowserMatch "^WebDrive" redirect-carefully
BrowserMatch "^WebDAVFS/1.[012345678]" redirect-carefully
BrowserMatch "^gnome-vfs/1.0" redirect-carefully
BrowserMatch "^XML Spy" redirect-carefully
BrowserMatch "^Dreamweaver-WebDAV-SCM1" redirect-carefully
</IfModule>

</IfDefine>

Y por ultimo crear el archivo con usuarios y password utilizando htdigest2.

htdigest2 -c /var/www/localhost/htdocs/dav/.htpasswd-dav DAV-upload [user]

El -c se pone para crear el archivo, para añadir posteriormente mas usuarios no hay que ponerlo.

Cuando ya esta todo hecho, reiniciamos Apache y a funcionar.

Si ya tenemos nuestro sistema de correo en nuestro servidor y queremos añadir soporte AntiSpam, tan solo debemos hacer lo siguiente.

Instalamos SpamAssassin:

emerge spamassassin

Una vez instalado, dejaremos el archivo situado en /etc/spamassassin/local.cf del estilo a la siguiente configuracion:


rewrite_header Subject [POSIBLE SPAM]:
report_safe 0
trusted_networks 127.0.0.1
required_score 5.0
use_bayes 1
bayes_auto_learn 1
dns_available yes


Ahora debemos decir a Postfix que utilice SpamAssassin. Para ello editamos el archivo /etc/postfix/master.cf y añadimos lo siguiente a la primera linea, para que quede algo del estilo a lo siguiente:


smtp inet n - n - - smtpd -o content_filter=spamassassin


Y al final del archivo añadimos la siguiente linea:

spamassassin unix - n n - - pipe user=nobody argv=/usr/bin/spamc -e /usr/sbin/sendmail -oi -f ${sender} ${recipient}

Por ultimo reiniciamos el servicio de Postfix y probamos que todo funciona correctamente.

Todas las opciones del archivo de configuracion del SpamAssassin se pueden ajustar a nuestras necesidades, tanto la puntuacion como el titulo son las opciones mas faciles de cambiar. Si en report_safe utilizamos el parametro 1 en lugar de 0 como en este archivo de configuracion de ejemplo, el correo electronico con posible Spam nos llegara como un correo adjunto a otro correo que nos envia SpamAssassin avisandonos el porque ese correo se ha marcado como posible Spam, la puntuacion que le ha dado y alguna cosa mas. Este mensaje esta en ingles, pero podemos traducirlo facilmente cambiando los archivos pertinentes localizados en /usr/share/spamassassin

NOTA: Es independiente a que Postfix trabaje con cuentas virtuales bajo MySQL o que las cuentas sean directamente las de sistema.

Daniel Robbins, creador y desarrollador principal y coordinador de Gentoo Linux ha anunciado que abandonará dicho proyecto en cuanto se forme una nueva directiva.

Uno de los principales motivos de esta ‘forzosa’ marcha es la imposibilidad de dedicarle tanto tiempo al proyecto, amén de una deuda acumulada de $20.000 que invirtió en Gentoo y que no recuperó. Según comenta, no puede vivir exclusivamente de Gentoo y tiene una familia a la que alimentar.

Para crear el fichero Manifest y el digest para un ebuild en Gentoo Linux, tan solo hay que ejecutar lo siguiente:

ebuild foo.ebuild digest

Donde foo.ebuild es el ebuild.