IT博客-linus2k-随笔分类-邮件技术

纪念记忆力衰退之Postfix的header_checks/body_checks功能补充说明(if-endif)

君子常当当 — Fri, 17 Dec 2010 01:39:00 GMT

摘要: "These rules operate on one logical message header or one body line at a time, and a decision made for one line is not carried over to the next line"

这些规则一次只检视一条表头(header_checks规则)或一行内文(body_checks规则)，你不能把某一行的检查结果带到另一行去。阅读全文

君子常当当 2010-12-17 09:39 发表评论

纪念记忆力衰退之Postfix header_checks正则表达式规则

君子常当当 — Thu, 28 Jan 2010 10:26:00 GMT

Postfix header_checks正则表达式规则

在规则詏定文件里面 ( 就是 header_checks 与 body_checks ) 只要是 # 代表该行为批注，系统或直接略过；
所谓的过瀡规则即是 header 与 body 里面的『阷锁字』，例如我不想让 192.168.100.5 这个 ip 寄件到我的 mail server ，那黱这个 from:.* 192.168.100.5 就是一条规则了！那个 .* 代表什黱意思呢？他代表『没有或多个任意字符』的意思～更详细的说明请参考各个正规表示法的标准说明了！常见的正规表示法特殊字符与意义为：
『.』：代表任意字符
『』：代表跳脱字符，可以让后面接的一个字符变成一般字符；
『*』：代表重复零个或多个前一个 re 的字符，例如『.*』则代表任意零个或多个字符的意思；
『^』：代表『这一行的第一个字符需要符合规则』的意思；
『$』：代表这一行的最后一个字符必须要符合这个字符的意思，
单一规则的詏定方法为：
/规则/  动作  显示在登录文件里面的讯息
请注意，要使用两个『 / 』将规则包起来喔！举个例子来说明：例如我想要 (1)抵挡掉标题为 a funny game 的信件，(2)乲且在登录文件里面显示 drop header deny，我可以这样写：
/^subject:.*a funny game/  discard drop header deny

在颊詏的规则当中，大小写是视为相同的；
如果有两条以上的规则，那黱就必须要使用 if 了，例如底下的案例：
if /^content-type:.*audio.*x-midi/
/^.*name=.*.scr/  discard drop the header inavalid
endif
上面的意思是，当一封邮件里面同时包含『 content-type: audio.x-midi 』与『name=*.scr』时，该封信件就会被乬弃了！那黱如果有三条以上的规则时呢？呵呵！就是使用多个 if 来适行啦！
if /rule1/
if /rule2/
/rule3/  动作显示字眼
endif
endif
不过请特别留意，这个 if .... endif 的詏定我僪在 2.x 版本上面试过，是没有问题的，不过，已经有很多的朋友提出说，在 1.xx 版本上面执行时会有问题发生，所以如果您的 postfix 不是 2.xx 版本，那黱底下鴅哥列出的两个范例就参考看看即可，不可直接套用喔！
阷于动作有底下几个动作：
reject ：将该封信件退回给原发信者；
warn ：将信件收下来，但是将该封信的基本赕料记录在登录文件内；
discard：将该封信件乬弃，乲不给予原发信者回应！
一般来说我是比较喜欢以 discard 将信件直接乬弃的啦！ ^_^
此外，请特别留意，在各主要 linux distribution 释出的 1.xx 版本中，乲无法使用 discard 的规则喔！所以您只能使用 reject 了！

君子常当当 2010-01-28 18:26 发表评论

纪念记忆力衰退之Postfix+Maildrop实现虚拟邮件域

君子常当当 — Mon, 07 Sep 2009 08:28:00 GMT

1.courier-authlib中的authmysqlrc配置

##NAME: MYSQL_LOGIN_FIELD:0
#
# The login id, default is id.  Basically the query is:
#
#  SELECT MYSQL_UID_FIELD, MYSQL_GID_FIELD,  WHERE id='loginid'
#

MYSQL_LOGIN_FIELD       concat(user_name, concat("@", user_email_domain))

##NAME: MYSQL_NAME_FIELD:0
#
# The user's name (optional)

MYSQL_NAME_FIELD        concat(user_name, concat("@", user_email_domain))

2.postfix中master.cf中的配置

maildrop unix - n n - - pipe
flags=DRhu user=vmail:vmail argv=maildrop -w 90 -V 10 -d ${user}@${nexthop} ${extension} ${recipient} ${user} ${nexthop}

3.postfix中main.cf中的配置

virtual_transport = maildrop
maildrop_destination_recipient_limit = 1
maildrop_destination_concurrency_limit = 1
receive_override_options = no_address_mappings

4.maildrop中maildroprc的配置

logfile "/var/log/maildrop.log"
VHOST="$HOME/$1/$2"
MAILDIR="$VHOME/Maildir"
CUSTOM_FILTER="$VHOME/.mailfilter"

我与网络上其他配置不同的地方是我的user_name字段值记录用户名，而不记录用户的电子邮件，所以按照网络上的配置方法，无法实现虚拟邮件域，所以需要修改这些，赶紧记录一下，免的忘了，其他的有时间再整理出

君子常当当 2009-09-07 16:28 发表评论

[转贴]限制部分Postfix用户只能内部收发的例子（完整版）

君子常当当 — Thu, 25 Jun 2009 07:12:00 GMT

原来的帖子：http://www.extmail.org/forum/viewthread.php?tid=524 这里实现的功能有些缺陷，对于限制的用户，其实只能对其外发（或者说rcpt to）做限制，而对于任意来信人给其发来的email则没有限制能力，真正的内部收发邮件用户，应该是只允许它和指定的内部域名（用户）联系，对于发向任何外部邮件域，或任意外部邮件域发来的邮件，都是禁止的。

这里给出一个配置，仅供大家参考。

配置方法：

1）在main.cf里定义如下的smtpd_restriction_classes：
引用:

    # restrictions
    smtpd_restriction_classes = local_out_only local_in_only
    local_out_only = check_recipient_access hash:/etc/postfix/local_domains, reject
    local_in_only = check_sender_access hash:/etc/postfix/local_domains, reject

2）将main.cf里的smtpd_recipient_restrctions定义为：
引用:

    smtpd_recipient_restrictions =
            check_sender_access hash:/etc/postfix/local_out_senders
            check_recipient_access hash:/etc/postfix/local_in_senders
            permit_mynetworks,
            permit_sasl_authenticated,
            reject_non_fqdn_hostname,
            reject_non_fqdn_sender,
            reject_non_fqdn_recipient,
            reject_unauth_destination,
            reject_unauth_pipelining,
            reject_invalid_hostname,

3）编辑/etc/postfix/local_in_senders：
引用:

    foo@extmail.org local_in_only
    bar@extmail.org local_in_only

4）编辑/etc/postifx/local_out_senders：
引用:

    foo@extmail.org local_out_only
    bar@extmail.org local_out_only

5）编辑/etc/postfix/local_domains：
引用:

    internal.foo.com         OK
    internal.bar.com         OK

6）为3，4，5建立对应的hash文件：
引用:

    # postmap hash:/etc/postfix/local_in_senders
    # postmap hash:/etc/postfix/local_out_senders
    # postmap hash:/etc/postfix/local_domains

这样就定义了extmail.org域名里两个用户foo和bar，只允许和internal.foo.com和internel.bar.com 两个内部域的用户来往邮件，对于外部的邮件则没有收或发的能力。如果外部邮件企图给这2个用户发送，则遇到如下错误：
引用:

    554 5.7.1 : Recipient address rejected: Access denied

如果这2个内部用户要给外部用户发email，将遇到如下错误：
引用:

    554 5.7.1 : Sender address rejected: Access denied

目前这样的配置就可以比较完整的实现内部用户的功能需求了。其实这种配置的方法和之前的帖子道理一样，关键得分清楚什么阶段，调用什么restrictions即可。

君子常当当 2009-06-25 15:12 发表评论

纪念记忆力衰退之构建MTA层邮件防火墙

君子常当当 — Thu, 25 Jun 2009 07:07:00 GMT

构建MTA层邮件防火墙

不请自来的邮件,我们叫垃圾邮件,垃圾邮件的危害:
占用系统资源,包括硬盘空间和带宽
干扰合法邮件的递送
以第三方名义转发的垃圾邮件,会使宿主收到大量的退信和进入黑名单

MTA层邮件防火墙的特点
在垃圾邮件进入队列前,进行阻挡,把对系统的影响减少到最低限度
技术手段简单,效率高
只能阻挡特征比较明显的垃圾邮件
缺少容错性,要结合MDA层信件过滤技术,如:procmail,maildrop等

MTA层邮件防火墙机制
MTA层邮件防火墙基于UBE检查,通过对SMTP对话不同层面的逐一控制,从而起到阻挡垃圾邮件的目的,而阻挡作用是双向性的,如果你想发垃圾邮件的话,要赶快拆除防火墙,以下是防火墙不同层面的描述:
SMTP                   UBE                      功能
SERVER and CLIENT  smtpd_client_restrictions    连接的客户端主机名/地址控制
HELO                smtpd_helo_restrictions    接洽控制
MAIL FROM          smtpd_sender_restrictions 发件人地址控制
RCPT TO             smtpd_recipient_restrictions  收件人地址控制
DATA                smtpd_data_restrictions    DATA控制
SUBJECT             header_checks             信头过滤
正文                   body_checks                正文内容检查

如何构建防火墙
方法一:在main.cf文件中编写规则
方法二:编制对照表
方法三:实时黑名单(RBL)

测试方法
postfix提供了一个参数,让你用来测试新限制条件:
  soft_bounce = yes
设定yes时,原本应该退信的动作,会改为将邮件放回队列,等待下次递送.在一段等待时间(1000s),让你有充足的时间来调整参数,然后重新发送.
再有就是打开日志功能,观测日志变化.

注意:
在测试时,如果服务器运行在本机上,不要使用telnet方式测试,telnet是以登陆本服务器上操作的方式,测试client是不起作用的.要运行客户端邮件程序来测试.
单独测试每一项规则,才知道因果关系.

编写main.cf文件
编写规则时,不一定要将规则分别设定给不同的参数下,可以集中在同一个参数下,任何限制条件都可以用于任何过滤规则,让你更加灵活地安排限制条件.

规则语法
规则是由permit_或reject_开头,不需要额外的自变量.permit是允许之意,reject是拒绝之意.而内容检查需要在对照表里使用正则表达式.

允许规则
permit_naked_ip_address
RFC要求客户端的HELO命令包含的ip地址放在方括号内，可以用此参数取消该限制。

permit_mynetworks
如果客户端的ip地址符合\$mynetworks参数定义的范围则接受该客户端的连接请求，并转发该邮件。

permit_auth_destination
permit_sasl_authenticated
仅仅中继通过SMTP认证的客户端邮件，以及接收本postfix为最后一站的邮件.SASL认证使用的选项.

DNS限制规则
DNS限制条件确认客户端所在的网络以及信封上的邮件地址,是否有可查验的DNS信息.
reject_unknown_client
当客户端接入后,即可获取其ip地址,postfix通过DNS查找客户端IP地址的PTR记录,不成功,立即拒绝服务.如果成功查出PTR记录,得出主机名称,再用此主机名称向DNS查相对应的IP地址,与先前所得的ip地址比较,相符后返回ok.
拒绝返回码:450.

reject_unknown_hostname
如果HELO命令提供的主机名称,没有A记录,也没有MX记录的,拒绝服务.拒绝返回码:450.

reject_unknown_recipient_domain
如果RCPT TO命令提供的收件人地址,其网域部分查不出有效的A或MX记录,拒绝服务.拒绝返回码:450.

reject_unknown_sender_domain
如果MAIL FROM命令提供的寄件人地址,其网域部分查不出有效的A或MX记录,拒绝服务.拒绝,返回错误代码为450.
MAIL FROM地址是退信通知的收件地址,捏造MAIL FROM地址是垃圾邮件发送者常用的伎俩.

常用的限制规则
reject_non_fqdn_hostname
reject_non_fqdn_recipient
reject_non_fqdn_sender
客户端提供的邮件地址不是完整形式(FQDN),拒绝服务.拒绝返回码:504.

reject_invalid_hostname
如果HELO命令所带的主机名参数不符合语法规范则,拒绝客户机的连接请求。拒绝返回码:501。

reject_unauth_pipelining
拒绝不经批准的流水线操作,pipeling是一种加速处理大宗邮件的技术.

reject_unauth_destination
如果收件地址不位于辖域,如relay_domains及其子域,$inet_interfaces、$mydestination
或$virtual_maps、$virtual_alias_maps等等,拒绝返回码:554.

编制访问表(access map)
涉及运用资料核对方式来验证的,使用对照表是一个好办法.access文件是进出postfix辖域的通行证,里面可以是ip地址,邮件地址,主机名,域名,等等,对应值是处理动作OK或REJECT等.access文件的范例:

#access list
sina.com    reject
tom.com       ok
192.168.0.2    reject
alange       reject
abc@example.com    reject
def@       reject

.......

记得每一次改动后,都要运行postmap来建数据库:
#postmap /etc/postfix/access

响应动作解释:
响应动作码为:OK,通过当前过滤规则的检查,继续检查下一组过滤规则.
响应动作码为UNNO,没有明确结果,所有规则结果都是DUNNO,默认收下邮件.
响应动作码为:REJECT,立即拒绝.
响应动作码为EFER,婉拒请求,客户端被告知稍后再试
响应动作码为:FILTER,将邮件转交给指定的内容过滤器.
响应动作码为:HOLD,将邮件放在保留队列,直到删除或释放给MDA处理.
响应动作码为ISCARD,收下邮件后立刻丢弃,慎重使用,暗自丢掉邮件是不道德的行为.

使用访问表
编辑main.cf文件,添加:
smtpd_client_restrictions = check_client_access hash:/etc/postfix/access
                           check_helo_access    hash:/etc/postfix/access
                           check_recipient_access  hash:/etc/postfix/access
                           check_sender_access hash:/etc/postfix/access

把所有匹配项:client_access ,helo_access, recipient_access, sender_access集中在一个access文件里,容易管理和操作,这样的限制是全方位的.
匹配规则:
设定了网址的,其所有子网都包含进去;
设定用户名为条件的,用户名匹配,即使域名不相同也是匹配;
完整邮件地址的要全匹配.

内容检查
内容检查是通过对邮件内容,包括标题和正文进行审核,是阻隔垃圾邮件最直接的手段,Postfix提供了四个检查邮件内容的参数:

参数                      功能
header_checks             检查标题
mime_header_checks    检查标题的MIME相关字段
nested_header_checks    检查夹带附件的标题
body_checks             检查邮件的正文

如何进行内容检查
内容检查的主要手段是使用正则表达式来寻找敏感字符(不区分大小写),检索特征放置在/.../之间,然后是要进行的动作.首先:
设定使用的正则表达式类型
regexp: Postfix的标准正则表达式语法
pcre: Perl兼容的语法

使用下列命令来查出可用的类型:
#postconf -m

修改文件main.cf,使得postfix支持内容检查,添加:

header_checks = regexp:/etc/postfix/checks
body_checks  = pcre:/etc/postfix/checks
body_checks_size_limit = 51200
#限制检查长度,是减轻系统负担的好策略,默认检查50k.

内容检查的响应动作
响应动作为:REJECT ,如果模式匹配成功,立即拒收邮件,并且将message-text内容传给客户端
响应动作为:WARN ,模拟拒收动作,不会真的拒收,只将message-text内容记录在日志文件中,并停止对比后续模式,方便测试之用.
响应动作为:IGNORE,删除符合模式的标题字段或整行文字.常用来删除包含内部网络信息,小心使用.
响应动作为:FILTER transport:nexthop,先将邮件排入队列,然后转交给指定的外部过滤程序.
响应动作为:HOLD,将邮件放在保留队列,直到删除或释放给MDA处理.
响应动作为:DISCARD,收下邮件后立刻丢弃,慎重使用,暗自丢掉邮件是不道德的行为.但另一方面,对付顽固不化的分子,退信,反而加大系统的负荷,干脆丢掉.

编写内容检查表
只要发现字段符合某正则表达式,整个对比过程就立刻结束,并执行对应的动作.如下是建立checks文件,这里的checks表同时使用在检查标题和正文的,既然是过滤关键字,就不论出现在那里了,维护管理起来会方便许多,范例:

#checks list
/abc/                            reject
/中文测试/                      reject
/^Subject: make money fast/    REJECT
/^To: friend@public\.com/       REJECT

.......

内容检查表不需用postmap命令来生成数据库,直接使用即可,但可以用postmap来测试规则,如下:
#postmap -fq "abc" regexp:/etc/postfix/checks
reject

整个文件来测试:
#postmap -fq - pcre:/etc/postfix/checks < inputfile

除了使用正则表达式以外,还能使用简单的条件判断,如:取反,多条件判断等,个人认为,不宜使用条件判断,编辑复杂的规则,还不如直接了当的找出关键字.详细信息参考手册: man regexp_table或 man pcre_table.

实时黑名单(RBL)
实时黑名单(Real-Time Blacklist ,RBL)是一种专为抵制垃圾邮件而设计的网络服务.让SMTP服务器通过DNS系统实时查询客户端是否为垃圾源.具体使用要联系服务提供商.选项有下:
reject_rbl_client rblprovider.domain
reject_rhsbl_client rblprovider.domain
reject_rhsbl_sender rblprovider.domain

实例:
main.cf文件(节选)
#SASL
smtpd_sasl_auth_enable = yes
smtpd_recipient_restrictions = permit_sasl_authenticated permit_auth_destination reject
broken_sasl_auth_clients = yes
smtpd_sasl_security_options = noanonymous

smtpd_recipient_restrictions =
#PERMIT:
permit_naked_ip_address
permit_mynetworks
#DNS:
#reject_unknown_client
#reject_unknown_hostname
#reject_unknown_recipient_domain
#reject_unknown_sender_domain
#REJECT:
#reject_non_fqdn_hostname
reject_non_fqdn_recipient
reject_non_fqdn_sender
reject_invalid_hostname
reject_unauth_pipelining
reject_unauth_destination
#ACCESS:
check_client_access hash:/etc/postfix/access
check_helo_access    hash:/etc/postfix/access
check_recipient_access  hash:/etc/postfix/access
check_sender_access hash:/etc/postfix/access

#CHECKS:
header_checks = regexp:/etc/postfix/checks
body_checks  = regexp:/etc/postfix/checks
body_checks_size_limit = 51200

此文件要注意格式,属于smtpd\_recipient\_restrictions参数项,前面要有空格.checks不属于这参数项,而是main.cf的参数,所以前面不能有空格.

刚刚研究邮件系统,参考了<>一书,并稍稍做了一些实验,写下这篇的心得,欢迎指教

君子常当当 2009-06-25 15:07 发表评论

amavisd-new黑白名单设置经验总结

君子常当当 — Thu, 16 Oct 2008 10:38:00 GMT

amavisd-new黑白名单设置经验总结

借鉴网上各位老大的这个问题的设置。看到的有以下两种情况：

1 vi /etc/amavisd.conf （加入以下两行）
2
3 ---------------------------------------------------------------------------------------
4 read_hash(\%whitelist_sender, '/var/amavis/var/.spamassassin/whitelist');
5 read_hash(\%blacklist_sender, '/var/amavis/var/.spamassassin/blacklist');
6 ---------------------------------------------------------------------------------------
7
8 注明：以上两个文件 whitelist 和 blacklist 要手动建立
9
10 touch > /var/amavis/var/.spamassassin/whitelist
11 touch > /var/amavis/var/.spamassassin/blacklist
12 两个文件的属主属性为：
13 chown amavis:amavis whitelist
14 chown amavis:amavis blacklist
15
16 1）建立后，执行 /etc/rc.d/init.d/amavisd reload 让 amavisd 重新读取配置文件信息。
17
18 2）登记在 whitelist 的邮件地址或域名均不会被 Spamassassin 打分为垃圾邮件。
19
20 3）登记在 blacklist 的邮件地址或域名均会被 Spamassassin 打分为垃圾邮件。
21
22 4）whitelist 和 blacklist 的写法，例如：
23 test@test.com.cn
24 *@boss.com
25
26 5）修改了 whitelist 或 blacklist 文件，均需要执行 /etc/rc.d/init.d/amavisd restart 让 amavisd 重新启动，否则，黑白名单不能生效！！！

这种方式我采用的是
read_hash(\%whitelist_sender, '/var/amavis/var/.spamassassin/whitelist');
read_hash(\%blacklist_sender, '/var/amavis/var/.spamassassin/blacklist');

配置，但是针对这个域的配置是无效的。
在论坛中搜了一下，有如下的配置

amavisd-new设置黑白名单问题
想再请教各位老大一个问题，在amavisd-new中添加黑白名单是只是对用户有效，不能对整个域有效，肯请知道的老大相告怎么写才能通配一个域或者更大?

[ 本帖最后由 isee 于 2007-10-25 17:13 编辑 ]

代码:
@whitelist_sender_maps = ( [qw(example.cn .exmpl.com)] );
其中[example.cn]指匹配该域下的所有帐号，[.exmpl.com]匹配该域及子域的所有帐号，如 @sub1.exmpl.com, @sub2.exmpl.com 等等。

配置后，确实解决了对整个域的问题，但是如果添加单个帐号的的话，也要在@whitelist_sender_maps = ( [qw(example.cn .exmpl.com)] ); 里面添加，自己实验一个更好的方法，也是收到上面的二者的启示啊，呵呵

本人的配置
采用centos 4.6 参考 http://www.extmail.org/docs/extmail_solution_linux/ 完成E-mail服务的建立
amavisd-new的版本是
[root@mail log]# amavisd -V
amavisd-new-2.5.4 (20080312)

amavisd-new 配置文件（供大家参考，有问题，请各位老大指点啊）

$max_servers = 10; # num of pre-forked children (2..30 is common), -m
$daemon_user = "amavis"; # (no default; customary: vscan or amavis), -u
$daemon_group = "amavis"; # (no default; customary: vscan or amavis), -g

$mydomain = 'test.com'; # a convenient default for other settings

# $MYHOME = '/var/amavis'; # a convenient default for other settings, -H
$TEMPBASE = "$MYHOME/tmp"; # working directory, needs to exist, -T
$ENV{TMPDIR} = $TEMPBASE; # environment variable TMPDIR, used by SA, etc.
$QUARANTINEDIR = "/var/virusmails";

@local_domains_maps = ( [".$mydomain","test2.com"] ); # list of all local domains

@mynetworks = qw( 127.0.0.0/8 [::1] [FE80::]/10 [FEC0::]/10
10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 );

$sa_tag_level_deflt = 4.0; # add spam info headers if at, or above that level
$sa_tag2_level_deflt = 6.3; # add 'spam detected' headers at that level
$sa_kill_level_deflt = 10; # triggers spam evasive actions (e.g. blocks mail)
$sa_dsn_cutoff_level = 9; # spam level beyond which a DSN is not sent

$sa_spam_subject_tag = '***SPAM*** ';

$myhostname = 'mail.test.com'; # must be a fully-qualified domain name!

$final_virus_destiny = D_DISCARD;
$final_banned_destiny = D_BOUNCE;
$final_spam_destiny = D_BOUNCE;
$final_bad_header_destiny = D_PASS;

$virus_quarantine_to = "virus\@$mydomain";
$banned_quarantine_to = "spam\@$mydomain";
# $bad_header_quarantine_to,
$spam_quarantine_to = "spam\@$mydomain";

read_hash(\%whitelist_sender, '/var/amavis/.spamassassin/whitelist');
read_hash(\%blacklist_sender, '/var/amavis/.spamassassin/blacklist');

# ### http://www.clamav.net/
['ClamAV-clamd',
\&ask_daemon, ["CONTSCAN {}\n", "/tmp/clamd.socket"],
qr/\bOK$/, qr/\bFOUND$/,
qr/^.*?: (?!Infected Archive)(.*) FOUND$/ ],

注明：以上两个文件 whitelist 和 blacklist 要手动建立

touch > /var/amavis/.spamassassin/whitelist 注意路径
touch > /var/amavis/.spamassassin/blacklist
两个文件的属主属性为：
chown amavis:amavis whitelist
chown amavis:amavis blacklist

whitelist 和 blacklist 的写法，例如：
test@test.com.cn 单个邮件地址
test.com 整个域
.test1.com 整个域及其子域（注意前面的写法中 . ）

修改了 whitelist 或 blacklist 文件，均需要执行 /etc/rc.d/init.d/amavisd reload 让 amavisd 重新应用，否则，黑白名单不能生效！！！

君子常当当 2008-10-16 18:38 发表评论

[转载]Postfix 邮件路由和传输研究

君子常当当 — Thu, 16 Oct 2008 02:21:00 GMT

本文最初发表于 http://hi.baidu.com/delphiss/blog/item/9f6c71cead14423bf9dc6148.html
转载请注明出处
作者：wdy

postfix从各种渠道收到邮件后，先由cleanup程序处理收件地址，就是把一些不规范的发件和收件地址域名“清理”一下，比如没有的补全，改写等等。

cleanup清理后的邮件被队列管理器交给trivial-rewrite来决定下一步的传输路由。

postfix下一步的传输前需要获得几个目标地址数据：

mydestination：本地标识；
virtual_mailbox_domains：虚拟邮箱域名；
relay_domains：转发域。

路由信息包括邮件一下步的传输者(transport)和下一跳收件地址(next-hop  destinations)。

传输者是指 local 或 smtp 这样的在master.cf 里定义的记录。
next-hop destinations 包括主机或域名等。

trivial-rewrite 判定的过程如下：

如果收件域出现在mydestination里，或目标收件ip地址与  $inet_interfaces 或 $proxy_interfaces 匹配，trivial-rewrite把邮件交给 [local_transport]；
[local_transport]的缺省设置是 local:$myhostname。表示transport是local(master.cf里定义的)，next-hop为$myhostname。

如果收件域出现在virtual_mailbox_domains里，表示是个虚拟域的邮件，把邮件交给 [virtual_transport]；
[virtual_transport] 缺省的设置是 virtual: ，表示用 virtual 投递，next-hop还是原收件地址。
virtual 根据 virtual_mailbox_base 来确定邮箱根目录，根据 virtual_mailbox_maps 来确定邮箱的存储路径，根据 virtual_uid_maps 和 virtual_gid_maps 来确定保存邮件使用的uid和gid。
当然现在大多数都使用 maildrop 来进行虚拟域的投递，安装好maildrop后先在master.cf里把maildrop配置成一个transport，然后设置 :
   virtual_transport = maildrop:

如果收件域出现在relay_domains里，就说明发件者因为各种原因无法把信件投递到收件域的主MX服务器了，自己正做为备用MX服务器接收了这些邮件。
   postfix收下邮件后将尝试连接主MX服务器，交出之前收到的邮件。
   如果邮件在队列里保留时间超过maximal_queue_lifetime规定的时间，就会发一份退信通知给发信人。
[relay_transport] 的缺省设置是 relay: 。
如果 relay_transport 设置里next-hop destinations为空，则依次查询  sender_dependent_relayhost_maps, relayhost 来确定，如果都为空则next-hop 为原收件地址不变。

如果收件域是需要远程投递的其他的域，把邮件交给 [default_transport]；
[default_transport] 的缺省设置是 smtp: 。smtp MDA会先查询收件域名的mx记录，查询出ip后连接25端口进行投递。
如果 default_transport 设置里next-hop destinations为空，则依次查询 default_transport, sender_dependent_relayhost_maps,
      relayhost来确定，如果都为空则next-hop 为原收件地址不变。

以上是postfix缺省的邮件路由方式，如果我们要自己指定一些路由方式，比如把 abc.com 所有邮件转发到另外一台主机让它来投递，把 root@xyz.com 的邮件拒收等等，我们就需要用到transport_maps查询表。transport_maps比缺省的postfix路由方式优先级要高。

transport_maps数据项的键名为收件地址，键值为 transport:nexthop
收件地址可以是一个域名，表示匹配这个域名下所有的收件地址。
transport必须是master.cf里定义的传输方式。
如果 transport 传输方式是 inet 类型，则 nexthop 的形式为 host:port。如果 host 是个域名，则先查询mx记录确定ip地址。如果 host 本身就是个ip或是个A记录，则需要用方括号括起来。
port指定要连接的端口，缺省是25。

举几个例子：

abc.com smtp:[192.168.12.34]:20025
发送给abc.com的邮件使用smtp MDA传送到192.168.12.34的20025端口上。

xyz.com maildrop
发送给xyz.com的邮件交给maildrop投递。

root@abc.com error:No mail accepted for root
当场拒收给root@abc.com的邮件，并给出错误信息：No mail accepted for root

spam@mydomain.com spam
这个是dspam里的设置，表示把发给spam@mydomain.com的邮件交给spam(同样，spam在master.cf里设置）。

君子常当当 2008-10-16 10:21 发表评论

纪念记忆力衰退之POSTFIX邮件退信日志分析

君子常当当 — Thu, 03 Apr 2008 05:15:00 GMT

摘要: 邮件为什么会被退回
经常上网发送邮件的人可能会有邮件被退回的经历，收到被退回的邮件要具体分析，退回的信件一般都会有简短的说明，结合这些说明你可以进一步了解具体的退信原因并作出相应处理。阅读全文

君子常当当 2008-04-03 13:15 发表评论

Postfix中recipient_bcc 与 sender_bcc + mysql实现邮件监控

君子常当当 — Wed, 02 Apr 2008 04:19:00 GMT

recipient_bcc 与 sender_bcc + mysql实现邮件监控

  添加数据表mail_watch
CREATE TABLE `mail_watch` (
  `sender` varchar(100)  NOT NULL,
  `bcc` varchar(100)  NOT NULL,
  PRIMARY KEY  (`sender`)
)

main.cf

sender_bcc_maps = mysql:/etc/postfix/mail_watch.cf
recipient_bcc_maps = mysql:/etc/postfix/mail_watch.cf

mysql_watch.cf

user = postfix
password = xxxxx
dbname = postfix
table = mail_watch
select_field = bcc
where_field = sender
hosts = localhost

这样就可以指定某个人监控某个人的邮件了

君子常当当 2008-04-02 12:19 发表评论

常用的RBL服务器列表及介绍

君子常当当 — Mon, 31 Mar 2008 03:38:00 GMT

摘要: 国内的:
国内的实时黑名单服务（RBL）做的最大的就是anti-spam. 它的官方网站是: www.anti-spam.org.cn
它提动的实时黑名单服务（RBL）主要包括四个部分：CBL、CDL和CBL+、CBL-。
CBL包含近期中国国内的主要垃圾邮件发送源。
CDL包含中国国内动态分配地址。
CBL+为CBL和CDL的合集。
CBL-是CBL+中去除了中国邮件服务运营商白名单服务（CML）的内容后的黑名单，该黑名单方便于既想使用实时黑名单，而又要保证在任何情况下都能收到来着他们的邮件的用户。

我们可以根据自己的实际情况选择下面的四种模式中的任意一种。
CBL: cbl.anti-spam.org.cn
CDL: cdl.anti-spam.org.cn
CBL+: cblplus.anti-spam.org.cn
CBL-: cblless.anti-spam.org.cn

注:anti-spam是免费的,但用户只能采用DNS查询的方法,它是不对用户开放DNS区阅读全文

君子常当当 2008-03-31 11:38 发表评论

纪念记忆力衰退之POP3命令简介

君子常当当 — Wed, 26 Mar 2008 02:03:00 GMT

摘要: POP3 命令
POP3 命令包括：
USER username 认证用户名
PASS password 认证密码认证，认证通过则状态转换
APOP name,digest 认可一种安全传输口令的办法，执行成功导致状态转换，请参见 RFC 1321 。
STAT 处理请求 server 回送邮箱统计资料，如邮件数、邮件总字节数
UIDL n 处理 server 返回用于该指定邮件的唯一标识，如果没有指定，返回所有的。
LIST n 处理 server 返回指定邮件的大小等
RETR n 处理 server 返回邮件的全部文本
DELE n 处理 server 标记删除，QUIT 命令执行时才真正删除
RSET 处理撤消所有的 DELE 命令
TOP n,m 处理返回 n 号邮件的前 m 行内容，m 必须是自然数
NOOP 处理 server 返回一个肯定的响应
QUIT 希望结束会话。阅读全文

君子常当当 2008-03-26 10:03 发表评论

纪念记忆力衰退之SMTP命令简介

君子常当当 — Wed, 26 Mar 2008 02:01:00 GMT

摘要: SMTP 命令
SMTP 命令包括：
HELO 向服务器标识用户身份。发送者能欺骗，说谎，但一般情况下服务器都能检测到。
EHLO 向服务器标识用户身份。发送者能欺骗，说谎，但一般情况下服务器都能检测到。
MAIL FROM 命令中指定的地址是发件人地址
RCPT TO 标识单个的邮件接收人；可有多个 RCPT TO；常在 MAIL 命令后面。
DATA 在单个或多个 RCPT 命令后，表示所有的邮件接收人已标识，并初始化数据传输，以 CRLF.CRLF 结束
VRFY 用于验证指定的用户/邮箱是否存在；由于安全方面的原因，服务器常禁止此命令
EXPN 验证给定的邮箱列表是否存在，扩充邮箱列表，也常被禁用
HELP 查询服务器支持什么命令
NOOP 无操作，服务器应响应 OK
RSET 重置会话，当前传输被取消
QUIT 结束会话阅读全文

君子常当当 2008-03-26 10:01 发表评论

一个测试垃圾邮件的网站

君子常当当 — Fri, 21 Mar 2008 10:34:00 GMT

一个测试垃圾邮件的网站
进这个网站，他会发30封垃圾邮件给你来测试
http://www.cloudmark.com/spampler/
做邮件服务器的可以用它来测试一下

君子常当当 2008-03-21 18:34 发表评论