Advertisement
Not a member of Pastebin yet?
Sign Up,
it unlocks many cool features!
- # See /usr/share/postfix/main.cf.dist for a commented, more complete version
- # Debian specific: Specifying a file name will cause the first
- # line of that file to be used as the name. The Debian default
- # is /etc/mailname.
- #myorigin = /etc/mailname
- smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
- biff = no
- # appending .domain is the MUA's job.(default no)
- append_dot_mydomain = yes
- # Uncomment the next line to generate "delayed mail" warnings
- #delay_warning_time = 4h
- readme_directory = no
- # TLS parameters
- ############################
- # местонахождение сертификата сервера
- smtpd_tls_cert_file = /etc/ssl/certs/iRedMail.crt
- # местонахождение закрытого ключа сервера
- smtpd_tls_key_file = /etc/ssl/private/iRedMail.key
- # сообщать клиентам о поддержке TLS
- smtpd_use_tls=yes
- # кэш tls сэсии, не обязательно (http://www.postfix.org/postconf.5.html#smtpd_tls_session_cache_database)
- smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
- smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
- # See /usr/share/doc/postfix/TLS_README.gz in the postfix-doc package for
- # information on enabling SSL in the smtp client.
- # соответствует полному доменному имени (fqdn)
- myhostname = mail.1cps.ru
- # где хранятся алиасы
- alias_maps = hash:/etc/postfix/aliases
- alias_database = hash:/etc/postfix/aliases
- # позволяет задать имя, под которым Postfix будет представляться при взаимодействии с другими системами (default myorigin = $myhostname)
- myorigin = mail.1cps.ru
- # список доменов, для которых почта будет доставляться локально, а не пересылаться на другой хост.
- mydestination = $myhostname, localhost, localhost.localdomain, localhost.$myhostname
- # Требуется что бы Postfix отправлял почту из локальной сети на smtp провайдера
- relayhost =
- # разрешить доступ из доверенных сетей
- mynetworks = 127.0.0.0/8 192.168.0.0/24 10.0.0.0/24 31.41.42.55/32
- # что то для локальной доставки почты (нах)
- mailbox_command = /usr/lib/dovecot/deliver
- # максимальный размер почтового ящика (для локальных аккаунтов)
- mailbox_size_limit = 0
- # чтобы делать так: user+ service@example.com
- recipient_delimiter = +
- # слушать на интерфейсах
- inet_interfaces = all
- # слушать протоколы (default all)
- inet_protocols = ipv4
- virtual_alias_domains =
- allow_percent_hack = no
- swap_bangpath = no
- # наш домен
- mydomain = 1cps.ru
- mynetworks_style = host
- smtpd_data_restrictions = reject_unauth_pipelining
- smtpd_reject_unlisted_recipient = yes
- smtpd_reject_unlisted_sender = yes
- smtpd_tls_protocols = !SSLv2 !SSLv3
- smtp_tls_protocols = !SSLv2 !SSLv3
- lmtp_tls_protocols = !SSLv2 !SSLv3
- smtpd_tls_mandatory_protocols = !SSLv2 !SSLv3
- smtp_tls_mandatory_protocols = !SSLv2 !SSLv3
- lmtp_tls_mandatory_protocols = !SSLv2 !SSLv3
- smtp_tls_security_level = may
- smtp_tls_CAfile = $smtpd_tls_CAfile
- # логирование TLS (http://www.postfix.org/postconf.5.html#smtp_tls_loglevel)
- smtp_tls_loglevel = 0
- # фиксировать в логе имена серверов, выдающих сообщение STARTTLS, поддержка TLS для которых не включена
- smtp_tls_note_starttls_offer = yes
- # ограничения адресатов отправителей
- smtpd_sender_restrictions =
- permit_mynetworks,
- reject_sender_login_mismatch,
- permit_sasl_authenticated
- delay_warning_time = 0h
- #время, в течении которого письма будут находится в очереди
- maximal_queue_lifetime = 4h
- bounce_queue_lifetime = 4h
- #список таблиц, которым разрешено работать через proxymap (кэширует запросы и снижает нагрузку на бд)
- proxy_read_maps = $canonical_maps $lmtp_generic_maps $local_recipient_maps $mydestination $mynetworks $recipient_bcc_maps $recipient_canonical_maps $relay_domains $relay_recipient_maps $relocated_maps $sender_bcc_maps $sender_canonical_maps $smtp_generic_maps $smtpd_sender_login_maps $transport_maps $virtual_alias_domains $virtual_alias_maps $virtual_mailbox_domains $virtual_mailbox_maps $smtpd_sender_restrictions
- smtp_data_init_timeout = 240s
- smtp_data_xfer_timeout = 600s
- # требуем, чтобы удаленный smtp клиент представлял себя в начале smtp сессии, командой helo или ehlo
- smtpd_helo_required = yes
- # проверка приветсвия клиента
- smtpd_helo_restrictions =
- permit_mynetworks,
- permit_sasl_authenticated,
- reject_unknown_helo_hostname,
- reject_non_fqdn_helo_hostname,
- reject_invalid_helo_hostname,
- check_helo_access pcre:/etc/postfix/helo_access.pcre
- # reject_unknown_helo_hostname - запретить доступ, если для имени хоста, содержащемся в выданном клиентом приветствии, не существует A или MX запись в DNS
- queue_run_delay = 300s
- minimal_backoff_time = 300s
- maximal_backoff_time = 4000s
- enable_original_recipient = no
- # запретить использование команды VRFY и потребовать обязательное использование команды HELO/EHLO
- disable_vrfy_command = yes
- home_mailbox = Maildir/
- allow_min_user = no
- # максимальный размер отправляемого сообщения (для локальных аккаунтов) 15 метров?
- message_size_limit = 15728640
- # минимальный uid для юзверей виртуальных доменов
- virtual_minimum_uid = 2000
- #карта uid-ов виртуальных пользователей
- virtual_uid_maps = static:2000
- #карта uid-ов виртуальных групп
- virtual_gid_maps = static:2000
- # папка, где будет лежать почта
- virtual_mailbox_base = /var/vmail
- # пересылка почты на другой хост ( http://www.postfix.org/postconf.5.html#transport_maps)
- transport_maps = proxy:mysql:/etc/postfix/mysql/transport_maps_user.cf, proxy:mysql:/etc/postfix/mysql/transport_maps_domain.cf
- #содержит имена обслуживаемых доменов
- virtual_mailbox_domains = proxy:mysql:/etc/postfix/mysql/virtual_mailbox_domains.cf
- # карта расположения почтовых ящиков
- virtual_mailbox_maps = proxy:mysql:/etc/postfix/mysql/virtual_mailbox_maps.cf
- #карта алиасов
- virtual_alias_maps = proxy:mysql:/etc/postfix/mysql/virtual_alias_maps.cf, proxy:mysql:/etc/postfix/mysql/domain_alias_maps.cf, proxy:mysql:/etc/postfix/mysql/catchall_maps.cf, proxy:mysql:/etc/postfix/mysql/domain_alias_catchall_maps.cf
- # тут можно задать автокопии писем (http://www.postfix.org/postconf.5.html#sender_bcc_maps , http://eddnet.org/?p=993 )
- sender_bcc_maps = proxy:mysql:/etc/postfix/mysql/sender_bcc_maps_user.cf, proxy:mysql:/etc/postfix/mysql/sender_bcc_maps_domain.cf
- recipient_bcc_maps = proxy:mysql:/etc/postfix/mysql/recipient_bcc_maps_user.cf, proxy:mysql:/etc/postfix/mysql/recipient_bcc_maps_domain.cf
- # на какие домены разрешена персылка почты
- relay_domains = $mydestination, proxy:mysql:/etc/postfix/mysql/relay_domains.cf
- # http://www.postfix.org/postconf.5.html#smtpd_sender_login_maps
- smtpd_sender_login_maps = proxy:mysql:/etc/postfix/mysql/sender_login_maps.cf
- # вкл. поддержку sasl авторизации
- smtpd_sasl_auth_enable = yes
- # доменная часть имени пользователя (в нашем случае используется имя домена,
- # т.е. при настройке почтовых клиентов в разделе "Аутентификация SMTP"
- # можно просто устанавливать опцию "Использовать параметры получения почты POP3",
- # а не задавать имя пользователя и пароль)
- smtpd_sasl_local_domain = $mydomain
- # опция необходима для поддержки старых версий почтовых клиентов,
- # например Microsoft Outlook Express 4 и Microsoft Exchange 5,
- # использующих другую форму команды AUTH, которая описана в документе RFC-4954
- broken_sasl_auth_clients = yes
- # дополнительные опции SASL (в нашем случае запрет анонимной аутентификации)
- smtpd_sasl_tls_security_options = $smtpd_sasl_security_options
- smtpd_sasl_security_options = noanonymous
- # использовать аутентификацию SMTP только для TLS-соединений
- smtpd_tls_auth_only = yes
- # проверка клиента
- smtpd_client_restrictions =
- check_client_access hash:/etc/postfix/access
- # проверки при получении почты
- smtpd_recipient_restrictions =
- reject_unknown_sender_domain,
- reject_unknown_recipient_domain,
- reject_non_fqdn_sender,
- reject_non_fqdn_recipient,
- reject_unlisted_recipient,
- check_policy_service inet:127.0.0.1:7777,
- check_policy_service inet:127.0.0.1:10031,
- permit_mynetworks, permit_sasl_authenticated,
- reject_unauth_destination
- # reject_rbl_client sbl.spamhaus.org
- # reject_unauth_pipelining - запретить некорректное использование команд конвейерной обработки
- # reject_unverified_sender - запретить доступ, если адрес отправителя не может быть проверен (механизм проверки описан в Postfix Address Verification Howto)
- # reject_unverified_recipient, - запретить доступ, если адрес получателя не может быть проверен (механизм проверки описан в Postfix Address Verification Howto)
- # http://www.postfix.org/postconf.5.html#smtpd_end_of_data_restrictions
- smtpd_end_of_data_restrictions =
- check_policy_service inet:127.0.0.1:7777,
- check_policy_service inet:127.0.0.1:10031,
- # сказать что ест tls, но не принуждать (http://www.postfix.org/postconf.5.html#smtpd_tls_security_level)
- smtpd_tls_security_level = may
- # детальность сообщений о TLS-активности, выводимых в лог (Default 0)
- smtpd_tls_loglevel = 0
- # местонахождение самоподписного доверенного сертификата
- smtpd_tls_CAfile = /etc/ssl/certs/iRedMail.crt
- # имя устройства-генератора псевдослучайных чисел (PRNG)
- tls_random_source = dev:/dev/urandom
- # чем доставлять почту виртуальным доменам
- virtual_transport = dovecot
- # не знаю, но советуют не трогать (сто то с пересылкой и алиасингом)
- dovecot_destination_recipient_limit = 1
- # тип sals походу
- smtpd_sasl_type = dovecot
- #обратите внимание, ровно такой же файлик нужно будет указать в настройках dovecot
- smtpd_sasl_path = private/dovecot-auth
- # пропускать всю входящую почту через amavisd-new
- content_filter = smtp-amavis:[127.0.0.1]:10024
- smtp-amavis_destination_recipient_limit = 1
- # использовать TLS, если удаленный сервер сообщает о поддержке TLS
- smtp_use_tls = yes
- # запрашивать заголовки сообщений с информацией о версии протокола и алгоритме шифрования
- #smtpd_tls_received_header = yes
- # время, в течение которого данные в кэше TLS-сессии считаются актуальными
- #smtpd_tls_session_cache_timeout = 3600s
- # максимальный размер почтового ящика (для virtual аккаунтов).
- #virtual_mailbox_limit=0
- # Эта директива указывает Postfix, как локальная почта должна быть доставлена
- #local_transport = virtual
- # Эта директива указывает postfix где ему искать имена локальных пользователей для доставки им почты.
- #local_recipient_maps = $virtual_mailbox_maps
- ### ОГРАНИЧЕНИЕ SMTP ОТПРАВКИ ПИСЕМ ###
- # Если клиент вызывает ошибки и общее количество ошибок в текущем SMTP-сеансе
- # меньше или равно значению параметра smtpd_ soft_error_limit, то каждая ошибка
- # приводит к задержке на значение smtpd_error_sleep_time
- #smtpd_soft_error_limit = 10
- # Если количество ошибок клиента превышает значение smtpd_hard_ error_limit, то Postfix завершает сеанс
- #smtpd_hard_error_limit = 15
- # определяет длительность паузы (в секундах) после каждой ошибки (по умолчанию - одна секунда)
- #smtpd_error_sleep_time = 20
- ### ОГРАНИЧЕНИЕ ОТПРАВКИ ПИСЕМ ЗА ВРЕМЕННОЙ ИНТЕРВАЛ ###
- # сколько писем можно отправить в еденицу времени (anvil_rate_time_unit)
- #smtpd_client_message_rate_limit = 30
- # не более anvil_rate_time_unit (30) писем за 60 сек
- #anvil_rate_time_unit = 60s
- # Кол-во соединений для одного ip адреса. При переборе соединений, пользователь получит отказ
- # в соединении с ошибкой "Too many connections from ip".
- #smtpd_client_connection_rate_limit = 30
- ### АНТИСПАМ ###
- # изменить коды ответов сервера об ошибках доставки сообщений, чтобы.
- # ПО СПАМера имело меньше шансов адекватного анализа причин невозможности доставки сообщений:
- invalid_hostname_reject_code = 550
- non_fqdn_reject_code = 550
- unknown_address_reject_code = 550
- unknown_client_reject_code = 550
- unknown_hostname_reject_code = 550
- unverified_recipient_reject_code = 550
- unverified_sender_reject_code = 550
- # запретить использование адресов, отличных от определенных в документе RFC-821
- strict_rfc821_envelopes = yes
- ### всегда отправлять ehlo вначале smtp сессии
- smtp_always_send_ehlo = yes
- # дождётся момента, когда будет доступна полная информация о клиенте(ip и helo) и письме(от кого и кому), и только тогда принимать ограничения
- smtpd_delay_reject = yes
- # запретить получение сообщений, в которые вложены исполняемые файлы
- #header_checks = regexp:/etc/postfix/header_checks
- #mime_header_checks = regexp:/etc/postfix/mime_header_checks
- # проверка писем содержащих ссылки на архивы
- body_checks = regexp:/etc/postfix/body_checks
Advertisement
Add Comment
Please, Sign In to add comment
Advertisement