Фотогалереи

Услуги

Помощь при использовании сайта

Настройка Rspamd в Debian и его интеграция с Postfix и Dovecot

Для начала я немного расскажу, что такое Rspamd. Rspamd - это альтернативный SpamAssassin'у демон (служба) для фильтрации почтового спама. Показывает гораздо большую производительность, чем Spamassassin, а также имеет гибкие настройки и легко интегрируется с MTA Postfix и Exim. Насколько мне известно, данный продукт весьма успешно трудится в Rambler почте, а разработчиком является Всеволод Стахов.

Работает вся эта связка по следующему принципу
На наш почтовый сервер стучится другой MTA и пытается передать письмо для пользователя который обслуживается в нашем домене. После всех проверок самого MTA (наличие пользователя и т.д) письмо передается Rmilter, который в свою очередь передает его демону Rspamd и после проверки отдает его обратно постфиксу. Затем, если письмо превышает установленные ограничения оно отбрасывается, в противном случае передается LDA и раскладывается по локальным ящикам.

На этом мы закончим вступление и перейдем к "зависимостям". Я исхожу из того, что уже есть работающие как надо Posfix и Dovecot. Также стоит отметить, что нам потребуется Debian 7 (пакеты существуют и для RH дистров, таких как Centos). Сначала у меня стоял Debian 6 и уже собранные пакеты имели неудовлетворенные зависимости. Но если имеется достаточный скилл по сборке из исходников и последующей дебианизации собранного - вперед. Могу заверить, что собирается все отлично и на 6 дебьяне.
Получить пакет rspamd можно добавив репозиторий, либо скачать готовые пакеты напрямую и установить их через dpkg.

Для трансляции писем в Rspamd нам потребуется Rmilter. Его также можно установить из репозитория. В конфигах Rspamd в принципе ничего перенастраивать не надо, по крайней мере на первоначальном этапе. Единственное что я менял - систему метрик или другими словами бальную систему.
Откроем

/etc/rspamd/metrics.conf

Нас интересуют строки

metric {
    name = "default";
        actions {
                reject = 10;
                add_header = 3;
                greylist = 6;

и в частности подсекция actions.

Параметр reject. В нем задается бальный порог при превышении которого письмо будет отвергнуто нашим сервером. Советую не увлекаться и не занижать это значение, потому как сервер будет отвергать и белую корреспонденцию. Потенциальный спам лучше принимать и потом уже фильтровать его Dovecot'ом при локальной доставке.
Параметр add_header задает пограничное значение, превышая которое к письму добавляется X-Spam заголовок. Для чего нам это нужно мы поговорим чуть позже.
Параметр greylist по тому же принципу добавляет письма в greylist.

Теперь перейдем к Rmilter. Нам потребуется новая версия Rmilter 1.6.1

В конфигурационном файле Rmilter задаются так называемые "цепочки" в которые письмо будет направлено после прохождения первичных проверок MTA. Существуют несколько цепочек:

  • Clamav - Антивирусная проверка (если установлено)
  • Spamd - Проверка фильтрами Rspamd

Это только основные цепочки, есть и множество других, но у меня используется только первая - Rspamd.

Главное, что нам нужно выделить в конфиге Rmilter - это настройка подключения к Rspamd. Выглядит это так.

spamd {
	    servers = r:localhost:11333;
            connect_timeout = 1s;
            results_timeout = 20s;
            error_time = 10;
            dead_time = 300;
            maxerrors = 10;
            reject_message = "Spam? No way!";
            whitelist = 127.0.0.1/32;
            rspamd_metric = "default";
};

Собственно объяснять тут особо нечего итак все ясно. Обращу внимание на то, что параметр

servers = r:localhost:11333;

явно указывает использовать протокол rspamd, а запись вида

servers = localhost:11333;

указывает использовать spamd протокол.

Далее укажем сокет через который MTA будет передавать сообщение rmilter'у.

bind_socket = unix:/run/rmilter/rmilter.sock;

Здесь я остановлюсь подробнее. Так как Postfix у вас работает скорее всего в chroot окружении, то указанный сокет он не увидит, так как корневая директория для него /var/spool/postfix. Для этого создадим директорию rmilter в корне chroot окружения Postfix.

mkdir /var/spool/postfix/rmilter

и забиндим в нее директорию созданную rmilter'ом

mount -o bind /run/rmilter /var/spool/postfix/rmilter

Теперь у нас в /var/spool/postfix/rmilter точная копия того, что находится в /run/rmilter. Для автоматизации данного процесса выполним от рута

echo '/run/rmilter    /var/spool/postfix/rmilter tmpfs defaults,bind,auto     0 0' >> /etc/fstab

Теперь сокет для MTA виден, но скорее всего при подключении к нему rmilter'a будем получать Permission denied, так как сокет имеет права 770 владельца rmilter и принадлежит группе adm. Я решил эту проблему путем добавления пользователя postfix в группу adm.

usermod -G postfix,adm postfix

Данное костыльное решение мне самому совсем не нравится, но переписка с мантейнером пакета под Debian и разработчиком ничего не дала в этом плане. Если у Вас есть какие либо предложения, как это исправить более правильным и красивым методом - велкам в каменты.

В остальном дефолтный конфиг вполне жизнеспособен и допиливание под свои нужды можно оставить на потом.

Теперь нам нужно настроить MTA (в моем случае это Postfix)

Делается это достаточно просто:

Открываем

/etc/postfix/main.cf

и дописываем в него

smtpd_milters = unix:rmilter/rmilter.sock
milter_mail_macros =  i {mail_addr} {client_addr} {client_name} {auth_authen}
milter_protocol = 4
milter_rcpt_macros = i {rcpt_addr}
# skip mail without checks if milter will die
milter_default_action = accept

Обращаю ваше внимание на то, что {auth_authen} нужно добавить обязательно, иначе письма от авторизованных пользователей также будут проверяться и есть большая вероятность, что такую проверку они не пройдут).

Больше собственно в MTA настраивать нечего и мы перейдем к LDA (Dovecot)
В начале статьи я упоминал про X-Spam headers которые нам сейчас и понадобятся. Мы настроили так, что после достижения определенного порога по весу к письму будут добавляться X-Spam заголовки, теперь с помощью них мы будем ложить подозрительную почту в определенную папку. Я выбрал для этих целей Junk, но Вы вольны выбрать свою, например Spam.
Делать это мы будем с помощью sieve, поэтому откроем файл

/etc/dovecot/conf.d/90-sieve.conf

и приведем его к такому виду.

plugin {
  sieve = ~/.dovecot.sieve
sieve_dir = ~/sieve
sieve_global_dir = /etc/dovecot/conf.d/sieve
sieve_before = /etc/dovecot/conf.d/sieve/spam.sieve
}

Далее создадим директорию:

mkdir -p /etc/dovecot/conf.d/sieve

Создадим скрипт содержащий:

nano -w /etc/dovecot/conf.d/sieve/spam.sieve
require ["fileinto"];
# rule:[spam]
if header :is "X-Spam" "Yes" {
         fileinto "Junk";
}

Скомпилим его при помощи sievec и дадим необходимые разрешения получившемуся бинарнику:

sievec /etc/dovecot/conf.d/sieve/spam.sieve
chown -R postfix:dovecot /etc/dovecot/conf.d/sieve/spam.svbin && chmod 644 /etc/dovecot/conf.d/sieve/spam.svbin

Теперь вся почта получившая >=3 балла при проверке будет падать в Junk директорию почтового ящика юзера.
Осталось лишь запустить rspamd, rmilter и перезапустить postfix и dovecot.

//Какие либо предложения и вопросы по статье оставляем в комментариях.

0
Голосов пока нет
Ваша оценка: Нет


Настройки просмотра комментариев

Выберите нужный метод показа комментариев и нажмите "Сохранить установки".
Аватар пользователя admin

Добрый вечер!

Для начала нужно определиться, точно ли он не запускается?

ps aux | grep rmil

Если нет, то нужно посмотреть указан ли сокет для подключения? В статье это есть.

И погрепать

/var/log/mail.log

на предмет ругани rmilter. Он в него логи свои отправляет

Аватар пользователя anonymous

Есть проблема с этой командой:
mount -o bind /run/rmilter /var/spool/postfix/rmilter
Работает все до момента перезагрузки rmilter. После рестарта демона rmliter.sock в /var/spool/postfix/rmliter/ не появляется.
Не подскажете в чем дело и как это исправить?

И у вас сертификат для сайта поломался)
http://joxi.ru/E2p17VOS9YR7YA.jpg

Аватар пользователя admin

Да, я знаю про серт. Но:
1. Lets encrypt я ставить не хочу.
2. За зеленые деньги покупать тоже не хочу
3. Известные мне способы редиректа https --> http все равно выплюнут ошибку. Я добавил просто сертификат в доверенные браузера и сплю пока спокойно

По rmilter

echo '/run/rmilter    /var/spool/postfix/rmilter tmpfs defaults,bind,auto     0 0' >> /etc/fstab

Вот эта строка должна спасти отца русской демократии. Это есть в статье.

Аватар пользователя anonymous

Да, я изначально так и сделал (и mount -a и вручную пробовал).
Попробуйте после этого монтирования сделать
touch /run/rmilter/test
А затем проверьте начиличие файла test в /var/spool/postfix/rmilter/
У меня не появляется. То же происходит с сокетом после рестарта rmilter.

Если не секрет, почему не хотите letsencrypt?

Аватар пользователя admin

Странно, у меня все работает.