postfix下clamd＋amavisd＋spam反垃圾工作

同步处理限制

postfix 采用同步处理限制来进行流量调整和控制，当 postfix 寄信到某个邮件主机时，首先传两封信过去（initial_destination_concurrency = 2），如果一切正常则逐步增加每次传送的量，一直到传输失败或者是到达同步上限每次 20 封信（default_destination_concurrency_limit = 20）。

如果想要针对不同 agent 来设定同步上限，也可以使用底下的参数（未设定的参数将会沿用 default_destination_concurrency_limit 限制）：

local_destination_concurrency_limit = 2

uucp_destination_concurrency_limit = 2

smtp_destination_concurrency_limit = 10

收信人限制

这 是指一封信可以寄给多少人，postfix 预设可以处理 50 个收信人（default_destination_recipient_limit = 50），如果一封信的收信人超过 50 人，postfix 会自动将此信复制成很多份，以 50 人为单位分批寄送。

和同步处理限制一样，可以针对不同 agent 来设定不同上限：

uucp_destination_recipient_limit = 2

smtp_destination_recipient_limit = 10

延迟传送

当 邮件服务器使用拨接线路联机时，由于部分时段处于断线状态，当 postfix 处理信件时会因为无法收发信件，持续产生错误讯息，为了避免发生这个现象，我们可以设定 defer_transports = smtp 来告知 postfix，要从 smtp agent 传送出去的邮件暂时不要传送。这些邮件可以等到上线后，再以 ETRN 指令全部寄出。

如果本机是前述邮件服务器的 mail gateway，由于该服务器只有部分时段上线，因此有可能 mail gateway 已经累积许多信件等待传送给它，为了避免 mail gateway 持续尝试传送，可以设定：

defer_transport = hold

接着在 /etc/postfix/transport 设定：

customer.com   hold:[gateway.customer.com]

这个设定的意思是，要给 customer.com 的邮件先暂存在 gateway.customer.com，等待前者上线后再全部传送给它（使用 ETRN 命令）。

设定好后，还需修改 master.cf，找到 smtp 行程设定（可参考前面小节），将 smtp 改为 hold 即可：

hold   unix   -   -   n   -   -   smtp

传送失败处理

当邮件传送失败的时候，负责传送邮件的 Agent 会将邮件退回给 qmgr 模块，qmgr 模块则会计算从邮件到达到现在的时间间隔，依此时间间隔将邮件排入延迟传送队列中，以等待下次传送。

如 果该封邮件传送到一半的时候失败了，也就是说有些收信人有收到，有些没有。这种情况下，除了将该邮件排入延迟传送队列外，也会将传送失败的对象排入 dead 清单一段时间，在这段时间内如果有其它邮件要传送给这些对象时，就会直接排入延迟传送队列，而不用徒劳无功地去尝试传送！

底下是有关于邮件传送失败处理的相关效能设定：

queue_run_delay = 1000s        qmgr 模块每 1000 秒（约 16 分钟）检查一次 defer 队列，查看是否有邮件须排入 active 队列

maximal_queue_lifetime = 5d        无法传送的信件在 defer 队列里最多保存 5 天，超过时间则退给寄信人

minimal_backoff_time = 1000s        传送失败的邮件至少在 defer 队列中暂停 1000 秒，而且被排入 dead 清单的收信人至少也要待 1000 秒，也就是说在这段时间内不再尝试寄信给他

maximal_backoff_time = 4000s        传送失败的邮件最多在 defer 队列中等待 4000 秒（约 1 小时）

qmgr_message_recipient_limit = 1000        dead 清单的大小，也就是说第 1001 个传送失败的对象，不会被排入 dead 清单

拖延战术

当怀有恶意的客户端连续传送大量邮件时，postfix 为了处理这些邮件耗掉太多资源，导致无法正常工作，这也就是经常被讨论的「阻断服务攻击」。

postfix 的设计者认为阻断服务攻击是不可能被解决的，因为我们无法单从邮件区分出它是恶意或善意，但是我们可以透过一些手段来降低损害。postfix 采用的方法是针对每条联机，设定一个联机错误计数器（ session error count），当客户端联机时，开启计数器，如果客户端传送不存在的 SMTP 命令（这绝对是恶意想阻断服务），或是超过字数限制的长字符串（内存溢位攻击）、超过一行的标头（引发邮件剖析错误），计数器就会不断累加。当邮件交寄成 功时，计数器才会归零重新计算。

现在我们只要根据计数器采取适当的处理动作就行了：

smtpd_soft_error_limit = 10        当计数器到达 10 时，就暂停该联机一段时间

smtpd_hard_error_limit = 100        当计数器到达 100 时，直接断线

smtpd_error_sleep_time = 5s        每次暂停 5 秒钟

資源管制

postfix 可以在記憶體有限的系統上執行，而不會影響其它服務的效能，這是因為 postfix 提供的記憶體管理功能非常有彈性，可以依據各種需求加以調整。

每封郵件用量限制

當 postfix 處理郵件時，必須將郵件暫存於郵件佇列中，其中 maildrop 和 incoming 佇列使用硬碟，而 active 和 deferred 則使用記憶體，每封暫存在佇列中的郵件耗用多少記憶體是由郵件資料結構來決定，幸運的是這個資料結構的欄位大小是可以微調的，透過這些微調就能決定 postfix 的最大記憶體用量了！

line_length_limit = 2048        從用戶端接收待寄郵件時，每行最多 2 KB

header_size_limit = 102400        每封郵件的標頭大小不得超過 100 KB

extract_recipient_limit = 10240        每封郵件的收信人欄位不得超過 10 KB

message_size_limit = 10240000        每封郵件（包含信封）的大小，不得超過 10 MB

queue_minfree =         當記憶體剩下多少 Bytes 時，才可以處理下一封郵件，預設是沒有限制。

bounce_size_limit = 50000        警告信的大小限制為 50 KB。

假設通通使用預設值，也就是所有參數都不設置，那麼處理一封郵件須耗用 10.05 MB，再加上 postfix 模組程式的大小，總共約 20 MB，這也就是 postfix 運行的最小需求了！

郵件數量限制

當前述用量限制設置完畢後，接著我們還可以針對郵件佇列一次要處理多少郵件作出限制，把每封郵件記憶體用量乘上郵件數量，就可以算出所需的記憶體總量，當記憶體足夠時，我們當然希望儘可能多處理幾封郵件來增進 postfix 的效能。

qmgr_message_recipient_limit = 1000        這個參數之前介紹過了，除了用來控制 dead 清單的大小外，也控制著處理中的郵件收信人總量，兩者的預設限制都是 1000。

qmgr_message_active_limit = 1000        最多同時處理 1000 封郵件。

duplicate_filter_limit = 1000        在進行收信人過濾時，要快取多少已通過過濾的清單，這個功能是用來提高過濾效能，預設要快取 1000 個不同收信人

時間限制

postfix 某些模組在運作時，會依照設定檔的要求讀取外掛程式或是執行 shell 命令，有些則是會讀取外部檔案。如果無限制的讓 postfix 等待外部命令執行完畢或等待外部檔案讀取完畢，將會因為這些外部程式的設計不當或 I/O 衝突，而導致 postfix 無法運作，因此就需要設定等候時間限制，超過此時間限制 postfix 將逕行處理下一個程序。

舉例來說：當 local agent 將郵件分到使用者信箱時，會透過 proxymap 模組讀取 alias 資料庫，接著根據 alias 設定讀取 :include: 檔案，最後讀取 .forward 檔案，前述動作中如果其中一個因為系統 I/O 忙碌無法於時間限制內讀取檔案，local agent 就會直接跳過進行下一個處理動作。

command_time_limit = 1000s        等候外部命令或 I/O 的時間不可超過 16 分鐘。

service_time_limit =         這個參數的目的是允許不同 service 採用不同時間限制，因此它會取代前述參數的設定，其中 service 就是 master.cf 中的第一個欄位。

檔案鎖定

當 local agent 要將信件分到使用者信箱時，有時候使用者正透過 POP3 讀取信箱，因此信箱被鎖定無法開啟，這種情況發生時，local agent 必須等候一段時間重新嘗試讀取檔案，但也不能一直等下去，所以必須要有一些限制。

postfix 支援兩種的檔案鎖定機制：一、使用系統函式 fcntl( ) 或 flock( )，二、使用 local file，postfix 將根據作業系統的不同，選擇其中一種或兩種並用。有關檔案鎖定機制在這裡不予討論，有興趣的讀者可以從「專業 Linux 程式設計」（Wrox 出版，碁峯翻譯經銷）一書一窺究竟。

deliver_lock_attempts = 5        檔案被鎖定時，嘗試讀取 5 次。

deliver_lock_delay = 1s        每次嘗試讀取前，先等候一秒鐘。

stale_lock_time = 500        當 lock file 存在超過 500s 時，強制刪除 lock file 解除其鎖定狀態。使用 lock file 其實是透過程式設計技巧來模擬檔案鎖定功能，它必須由程式設計師自行維護鎖定狀態，萬一有粗心的設計者鎖定檔案後忘記解除，或是程式當掉無法解除鎖定，都 會造成檔案長期被鎖定的假象，所以需要此設定來排除問題。

行程自動回復

當 行程或子執行緒因為某些原因當掉，例如：記憶體不足......等，這個時候 master 將會延遲一段時間後嘗試重新啟動該行程。當然，如果程式當掉的原因是 main.cf 檔案損毀所造成的，就算是不斷重複啟動也不能恢復正常，因此 postfix 也會將當掉的情形紀錄在系統日誌裡，以便管理員偵錯並人工修復。

fork_attempts = 5        行程當掉以後，會嘗試重新啟動它 5 次！

fork_delay = 1s        每次重新啟動前，先等候一秒鐘。

transport_retry_time = 60s        qmgr 每隔 60 秒嘗試驅動 agent 進行分信。

关于clamd,amavisd,spamassassin的配置,做的最好的是易人居士的了.我基本是按照他写的,然后根据自己的因数改一部分内容.现在直接copy过来,然后说一下自己的看法.

Clamav (/usr/local/etc/clamd.conf )

# This option enables scanning of Microsoft Office document macros.

# Default: enabled

ScanOLE2                 打开office文档扫描

# Enable internal e-mail scanner.

# Default: enabled

ScanMail                 打开邮件扫描

# ClamAV can scan within archives and compressed files.

# Default: enabled

ScanArchive             扫描压缩包

# Due to license issues libclamav does not support RAR 3.0 archives (only the

# old 2.0 format is supported). Because some users report stability problems

# with unrarlib it's disabled by default and you must uncomment the directive

# below to enable RAR 2.0 support.

# Default: disabled

ScanRAR                 扫描RAR压缩包

# Files in archives larger than this limit won't be scanned.

# Value of 0 disables the limit.

# Default: 10M

ArchiveMaxFileSize 10M     最大扫描压缩包文件为10兆

# Nested archives are scanned recursively, e.g. if a Zip archive contains a RAR

# file, all files within it will also be scanned. This options specifies how

# deep the process should be continued.

# Value of 0 disables the limit.

# Default: 8

ArchiveMaxRecursion 9         扫描压缩包9层

# Number of files to be scanned within an archive.

# Default: 1000

ArchiveMaxFiles 1000         最多扫描压缩包内1500个文件

# Set access mask for Clamuko.

# Default: disabled

ClamukoScanOnOpen

ClamukoScanOnClose

ClamukoScanOnExec

# Don't scan files larger than ClamukoMaxFileSize

# Value of 0 disables the limit.

# Default: 5M

ClamukoMaxFileSize 10M

-----------------------------------------------------------------------------------------------

(关于clamd,其实过滤效果是很好的,随便设置一下,都会达到100%过滤的,反病毒还是做的很好.不过我后来注释掉了很多)

Amavisd-new   (/etc/ amavisd.conf   )

D_PASS：   不做任何处理，直接传送给收件人。

D_DISCARD：   邮件不传送给发件人及收件人。

D_BOUNCE：   不传送给收件人。除了定义在 $viruses_that_fake_sender_re 病毒名称外的信件，amavisd-new 皆会传送 DSN 讯息给发件人。

D_REJECT：   不传送给收件人，发件人会收到拒绝传送的信息。

$sa_auto_whitelist = 1;   # 启用自动学习白名单 White List

$sa_mail_body_size_limit = 200*1024;   # 超过某个特定大小的邮件就不经过

SpamAssassin 的扫描。

$sa_tag_level_deflt = 4.0;   # 超过这个分数标准者，才视为垃圾邮件打分数。

加入 X-Spam-Status 及 X-Spam-Level 信息头

$sa_tag2_level_deflt = 6.3;   #   超过这个分数标准者，才允许在邮件标题加入

Spam 信息。

加入 X-Spam-Flag:YES 及改写主题

(你如果细心查看maillog ,就会发现sa_tag2_level_deflt才是垃圾信的标准,超过6.3的pass,低于的就Passed SPAM了 ,所以我把这个值提高到7 , 另外我的$max_servers = 10

$sa_kill_level_deflt = 10 ;   #   超过这个分数标准者，就直接將信件备份后删除。

$sa_dsn_cutoff_level = 9;   # 超过这个分数标准者，將不会送出 DSN 信息。

--------------------------------------------------------------------------------

Spamassassin   (/etc/mail/spamassassin/local.cf )

# SpamAssassin config file for version 3.x

# NOTE: NOT COMPATIBLE WITH VERSIONS 2.5 or 2.6

# See http://www.yrex.com/spam/spamconfig25.php for earlier versions

# Generated by http://www.yrex.com/spam/spamconfig.php (version 1.50)

# How many hits before a message is considered spam. 得分多少以上就会被判定为垃圾邮件。

required_hits       6.3

(不知道自己的spamassassin的version 可以输入spamassassin –version查看 ,  我的值都高点,我设成6.5 )

# Whether to change the subject of suspected spam. 在已判定的垃圾邮件之标题加上标记。（ 如果是使用amaivsd来呼叫spamassass进行过滤的，请修改 Amavisd-new 的配置文件amavisd.conf 中的相应选项：$sa_spam_subject_tag = '***[ Junk Mail ]*** '; ）

rewrite_header Subject ****SPAM(_SCORE_)****

# Encapsulate spam in an attachment.

# 要如何处理垃圾邮件。如果邮件还会经过防毒程序的扫描处理，所以必须设定为 0。

# 0：将信息写入邮件表头。

# 1：将垃圾邮件转为附件。

# 2：将垃圾邮件转为纯文字附件。

report_safe         0

# Use terse version of the spam report. 用精简的方式来回复垃圾邮件信息给管理者

use_terse_report     0

# Enable the Bayes system. 使用贝叶斯学习系统

use_bayes           1

(光启用了似乎还不可以吧,还需要指定一些参数,参考如下

# 是否使用 Bayesian

use_bayes 1

# Bayesian 之資料庫位置

bayes_path /var/lib/amavis/.spamassassin/bayes

# 是否啟用 Bayesian 自動學習功能？

auto_learn 1

不过我没有找到我的bayes的资料库位置 ,所以就没有写出来  )

# Enable Bayes auto-learning. 开启贝叶斯自动学习功能

auto_learn         1

# Enable or Disable network checks. 略过 RBLs 检查、使用 Razor version 2、使用 DCC (Distributed Checksum Clearinghouse)、使用 Pyzor

skip_rbl_checks       0

use_razor2         1

use_dcc           1

use_pyzor           1

# Blacklist. 黑名单，判定減 ＋ 100 分

blacklist_from *@sohu.com *@mailfb.com

# Whitelist . 白名单，判定加 — 100 分 (这个很管用,一定要用好)

whitelist_from *@yahoo.com.tw *@yahoo.com.hk *@yahoogroups.com.hk

whitelist_from [email protected]

# Mail using languages used in these country codes will not be marked

# as being possibly spam in a foreign language.

# - chinese

ok_languages         zh en

# Mail using locales used in these country codes will not be marked

# as being possibly spam in a foreign language.

ok_locales         zh en

# Disabled scores. 防止中文主旨和中文收件者误判，建议再加上下列几行

score HEADER_8BITS 0

score HTML_COMMENT_8BITS 0

score SUBJ_FULL_OF_8BITS 0

score UPPERCASE_25_50 0

score UPPERCASE_50_75 0

score UPPERCASE_75_100 0

# local domain from but ip not match. 域名和 IP 不符合，疑为垃圾邮件

header __FROM_TEATIME Received =~ /from test.com.cn/i

header __FROM_TEATIME_IP Received =~ /[12.34.56.78]/

meta FROM_TEATIME_BUT_IP_ERROR (__FROM_TEATIME)

describe FROM_TEATIME_BUT_IP_ERROR From test.com.cn but ip not match

score FROM_TEATIME_BUT_IP_ERROR 8

score NO_REAL_NAME 4.000

score SPF_FAIL 10.000

score SPF_HELO_FAIL 10.000

score BAYES_99 4.300

score BAYES_90 3.500

score BAYES_80 3.000

Spamassassin 系统设置之 黑白名单

-----------------------------------------------------------------------------------------------------

vi /etc/amavisd.conf （加入以下两行）

-----------------------------------------------------------------------------------------------------

read_hash(%whitelist_sender, '/var/amavis/var/.spamassassin/whitelist');

read_hash(%blacklist_sender, '/var/amavis/var/.spamassassin/blacklist');

-------------------------------------------------------------------------------------------------------

注明：以上两个文件 whitelist 和 blacklist 要手动建立

touch > /var/amavis/var/.spamassassin/blacklist

两个文件的属主属性为：

chown amavis:amavis whitelist

chown amavis:amavis blacklist

1）建立后，执行 /etc/rc.d/init.d/amavisd reload 让 amavisd 重新读取配置文件信息。

2）登记在 whitelist 的邮件地址或域名均不会被 Spamassassin 打分为垃圾邮件。

3）登记在 blacklist 的邮件地址或域名均会被 Spamassassin 打分为垃圾邮件。

4）whitelist 和 blacklist 的写法，例如：

[email protected]

*@boss.com

5）修改了 whitelist 或 blacklist 文件，均需要执行 /etc/rc.d/init.d/amavisd restart 让 amavisd 重新启动，否则，黑白名单不能生效 ！！！(我似乎感觉不到这两行的威力,加了之后还是打分,判断是否垃圾 ….. 如果大家有什么好的判断,请说出来,一起研究  )

修改好了这些后时候就万事大吉了呢  ,不是的  . 每个mail server都不同,都会有不同的垃圾源盯上你的mail server的.所以必须量身定做 适合自己的垃圾规则集, 我以前一直忽略了这个问题,只是在postfix配置 和clamd amavisd参数上下功夫,事倍功半的 .

仔细search你的maillog ,grep 你的昨天 前天的mail的收发信息,  然后grep  Passed SPAM ,或者 grep Passed CLEAN 挑出通过的和没通过的,自习研究他们的数量和规律,例如你查处有个叫debora**的sb总是向你发mail ,每天上百封,你就可以过滤掉它. 而某某好的邮箱给你发信,竟被你拒掉了,那么添加规则 凡是它发过来的都pass . 或者进入/var/virusmails, gunzip –d * ,然后grep 某人 ,查看他的邮件的打分情况  ,例如下面的

X-Priority: 3

X-MSMail-Priority: Normal

X-Mailer: Microsoft Outlook Express 6.00.2800.1437

X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1437

X-Spam-Status: Yes, score=22.214 tag=4 tag2=6 kill=10 tests=[BAYES_00=-2.599,

EN_SUBJECT_147=11, EXTRA_MPART_TYPE=1.091, HELO_DYNAMIC_DHCP=3.066,

HELO_DYNAMIC_IPADDR=4.2, HTML_MESSAGE=0.001, RCVD_IN_BL_SPAMCOP_NET=1.558,

RCVD_IN_XBL=3.897]

X-Spam-Score: 22.214

X-Spam-Level: *********************

X-Spam-Flag: YES就知道自己打分的情况了 .

你可以vi /usr/share/spamassassin/aaa.cf  定义自己的垃圾标准    ,例如

header EN_SUBJECT_147           Subject =~ /all/

score EN_SUBJECT_147            11.00

header EN_SUBJECT_148           Subject =~ /hi all/

score EN_SUBJECT_148            11.00

header EN_SUBJECT_149           Subject =~ /It's/

score EN_SUBJECT_149            11.00

header EN_SUBJECT_150           Subject =~ /this it/

score EN_SUBJECT_150            11.00

header EN_SUBJECT_151           Subject =~ /Your/

score EN_SUBJECT_151            11.00

header EN_SUBJECT_152           Subject =~ /wrote/

score EN_SUBJECT_152            11.00

header EN_SUBJECT_153           Subject =~ /QBQ/

score EN_SUBJECT_153            11.00

邮件from呢

header EN_FROM_017              From:name =~ /4tune/

score EN_FROM_017               11.00

header EN_FROM_018              From:name =~ /newsletter/

score EN_FROM_018               11.00

header EN_FROM_019              From:name =~ /debora/

score EN_FROM_019               11.00

及对邮件内容打分 等等   ,以上匹配的都是要加11分的  ,垃圾嫌疑值可自己酌情定义. 最后累加 看是否超过及格线,超过为垃圾

添加完后都是需要重启服务的   .

好了,基本上先写这些东西,大家有什么想法可说出来,不对的地方请指正批评