Mailfiltering Gateway/ko

이 안내서는 Postfix의 스팸 차단 기능 설치에 대한 과정을 안내합니다. 안내는 Amavisd-new, 스팸 어쌔신, ClamAV, 그레이 리스팅, SPF를 포함합니다.

도입부

이 안내서에서는 스팸 및 바이러스를 걸러내는 메일 게이트웨이를 설치하는 방법을 과정별로 설명합니다. 이 설명으로 단일 서버 솔루션에 적용하는 것은 꽤 단순합니다.

대략적인 그림

이 문서는 다중 도메인에 대한 스팸 차단 메일 게이트웨이 설정 방법을 설명합니다. 이 서버는 메일 계정을 실제로 보유하고 있는 메일 서버(마이크로소프트 익스체인지 또는 로터스 노츠 등)의 앞단에서 실행합니다.

이 설치 과정에서 적절한 보안 레코드와 알아보기 쉬운 설정 파일을 갖춘 프로그램을 선택합니다. 전자메일 MTA로는 적절한 보안레코드를 보유하고 있으며 설정을 올바르게 처리하는데 상당히 쉬운 postfix를 활용합니다. Postfix는 메일 수신에 보통 25번 포트로 감청합니다. 이 과정에서 Amavisd-new에 10024번 포트를 통해 전달합니다. Amavisd-new 는 다음 메일 서버로 메일을 전달할 10025번 포트를 통해 Postfix로 메일을 다시 되돌리기 전에 다양한 필터를 거칩니다.

Amavisd-new는 내용 기반 차단 프레임워크이며 바이러스 및 스팸을 차단하는 도우미 프로그램을 제대로 동작하게 합니다. 이 설치 과정에서 바이러스를 차단하는 ClamAV 그리고 스팸을 차단하는 스팸 어쌔신을 두가지 도우미 프로그램으로 활용하겠습니다. 스팸 어쌔신 자체는 내용 기반 차단 프레임워크 계층 기능을 잇따라 수행하며, Vipul's Razor2와 DCC 도우미 프로그램을 동작합니다.

RBL 및 기타 스팸 처리 기능 프로그램과는 달리 스팸 어쌔신은 단순히 일회 시험만을 기반으로 하는 전자메일 수용, 거절 기능만을 수행하지 않습니다. 내부 시험과 외부 도우미 프로그램을 통해 거쳐간 모든 전자메일을 기반으로 스팸 가중치를 계산합니다. 이 가중치는 다음 시험 과정을 기반으로 합니다:

• 베이지안 필터링
• 정규 표현식에 기반한 정적 규칙
• 분산 협업 네트워크
  • RBLs
  • Razor2
  • Pyzor
  • DCC

안내서의 첫부분(1~4장)에서는 메일 차단 게이트웨이의 기본 설정을 설명합니다. 다음 장에서는 이전 장과 관계없이 제각각 구현할 수 있습니다. 아래 언급 한 장에서는 다음 방법에 대해 설명합니다:

• 베이지언 필터 숙지 동작과 거짓 양성 메일 배달을 처리할 특수 IMAP 폴더 설정
• Postfix로 그레이리스팅 설정
• Amavisd-new에서 사용자 설정을 담을 MySQL 백엔드 사용 설정
• Spamassassin에서 AWL과 Bayes 데이터를 담을 MySQL 백엔드 사용 설정

계획한 다섯번째 부분에서는 성능과 관련있는 내용 그리고 알고 싶은 부분(루트를 전환한 환경에서 실행, postfix 제한, 등)에 대한 다양한 실마리를 제공합니다.

준비

필요한 프로그램 설치

가장 중요한 Amavisd-new, Spamassassin, ClamAV 프로그램 설치로 시작하겠습니다.

DNS 설정

프로그램을 이머지하는 동안 다른 쉘을 띄우시고 필요한 DNS 레코드를 만드십시오.

메일 게이트웨이에 MX 레코드를 우선 생성하고, 다음 목적지의 A 레코드를 생성하십시오.

(Create a MX record for the gateway server)
                MX      10      mailgateway.mydomain.tld.
(Create an A record for the gateway server)
mailgateway     A       mgw.ip.add.here
(Create an A record for the next hop mail server)
mail            A       ms.ip.add.here

방화벽 개방

일반 메일 흐름을 허용하려면 서버 통신을 확인하는 네트워크에서 몇가지 서비스를 방화벽을 뚫어 허용해야합니다.

Razor 은 어떤 서버가 가장 가까운 곳에 있는지 찾을 때 ping을 활용합니다.

Postfix 설정

우선 postfix에게 포트 10025번에서의 감청을 지시하고, 포트 25번에서 감청중인 postfix 인스턴스에 적용한 상당부분의 제약을 제거해야합니다. 또한 10025 포트는 로컬 연결만 기다립니다. 이 조건을 충족하기 위해 /etc/postfix/master.cf의 마지막 부분에 다음 내용을 추가해야합니다.

smtp-amavis     unix -        -       n     -       2  smtp
  -o smtp_data_done_timeout=1200
  -o smtp_send_xforward_command=yes
#Equivalently when using lmtp:
#lmtp-amavis    unix -        -       n     -       2  lmtp
#   -o lmtp_data_done_timeout=1200
#   -o lmtp_send_xforward_command=yes
  
127.0.0.1:10025 inet n        -       n     -       -  smtpd
  -o content_filter=
  -o local_recipient_maps=
  -o relay_recipient_maps=
  -o smtpd_restriction_classes=
  -o smtpd_client_restrictions=
  -o smtpd_helo_restrictions=
  -o smtpd_sender_restrictions=
  -o smtpd_recipient_restrictions=permit_mynetworks,reject
  -o mynetworks=127.0.0.0/8
  -o strict_rfc821_envelopes=yes
  -o smtpd_error_sleep_time=0
  -o smtpd_soft_error_limit=1001
  -o smtpd_hard_error_limit=1000
  
#If you want to use proxy filtering instead
#smtp            inet n         -       n      -       8 smtpd
# -o smtpd_proxy_filter=127.0.0.1:10024
# -o smtpd_client_connection_count_limit=4
#If you don't want to scan outgoing mail use this
#10.0.0.2:smtp   inet n         -       n       -      - smtpd
#-o content_filter=

master.cf 파일은 postfix master 프로그램에 개별 postfix 프로세스를 실행하는 방식을 지시합니다. 더 많은 내용은 man 8 master 명령을 참고하십시오.

다음 10024 포트에서 대기중인 amavisd-new로 오는 메일을 걸러내기 위해 postfix 인스턴스를 25번 포트에서 대기하도록 해야합니다.

또한 메일의 다음 홉 대상을 설정해야합니다. postfix에게 모든 메일이 외부 컨텐트 필터를 거치도록하고, postfix가 메일을 어디로 전달할 지 알도록 명시한 경로 지정을 활성화하십시오.

biff = no
empty_address_recipient = MAILER-DAEMON
queue_minfree = 120000000
  
content_filter = smtp-amavis:[127.0.0.1]:10024
#Equivalently when using lmtp:
#content_filter = lmtp-amavis:[127.0.0.1]:10024
  
# TRANSPORT MAP
#
# Insert text from sample-transport.cf if you need explicit routing.
transport_maps = hash:/etc/postfix/transport
  
relay_domains = $transport_maps

postfix는 main.cf에 설정할 많은 옵션이 있습니다. 파일에 대한 더 많은 정보는 man 5 postconf 명령 또는 동일한 내용을 지닌 Postfix 설정 매개변수 온라인 문서를 참고하십시오.

transport 파일의 형식은 일반 postfix 해시 파일입니다. 왼편에 있는 도메인에 보내는 메일은 오른편에 있는 목적 대상으로 전달합니다.

mydomain.tld                          smtp:mail.mydomain.tld

파일을 편집하고 나면 postmap 명령을 실행해야합니다. postfix는 이 파일을 실제로 읽지 않기 때문에 postmap /etc/postfix/transport 명령을 통해 적당한 형식으로 편집한 파일을 변환해야합니다. 이 명령은 /etc/postfix/transport.db 파일을 만듭니다. postfix에서 바뀐 설정을 자동으로 가져오므로 postfix를 통해 설정을 다시 불러올 필요가 없습니다.

처음 메일을 보냈을때 메시지 결과가 되돌아온다면, 어딘가에 설정 오류를 안고 있을지도 모릅니다. 설정 문제를 해결하는 동안 soft_bounce를 임시로 활성화 하십시오. 이 옵션을 설정하면 postfix 가 전송 오류 때문에 되돌아오는 메일을 일시적 오류에 의한 반송으로 간주합니다. soft_bounce 옵션을 비활성화했거나 제거할 때까지는 메일 큐에서 대기중인 메일을 그대로 둡니다.

동작하는 설정을 만들어 마무리했다면 soft_bounce 옵션을 비활성화하거나 제거하시고 postfix를 재가동하십시오.

Amavisd-new 설정

Amavisd-new는 모든 필터링을 관리하고 여러가지 제각각의 기술을 쉽게 연계할 수 있도록 하는데 사용하빈다. 메일 메시지를 받을 때 메일을 추출하고, 몇가지 개별 필터로 걸러내며, 화이트/블랙 리스팅 처리한 후 여러가지 바이러스 검색기로 메일을 걸러낸 다음 스팸 어쌔신을 활용하여 메일을 최종적으로 걸러냅니다.

Amavisd-new 자체에는 몇가지 추가 기능이 있습니다:

• 위험한 첨부 파일을 식별하고 이 파일을 처리할 정책을 보유합니다
• 사용자별, 도메인 별 시스템 범위 정책:
  • 화이트리스트
  • 블랙리스트
  • 스팸 가중치 한계치 설정
  • 바이러스 및 스팸 처리 정책

postfix 와 freshclam 와는 별개로 amavis 사용자로 모든 프로그램을 실행하겠습니다.

/etc/amavisd.conf에서 다음 부분을 편집하십시오

# (Insert the domains to be scanned)
$mydomain = 'example.com';
# (Bind only to loopback interface)
$inet_socket_bind = '127.0.0.1';
# (Forward to Postfix on port 10025)
$forward_method = 'smtp:127.0.0.1:10025';
$notify_method = $forward_method;
# (Define the account to send virus alert emails)
$virus_admin = "virusalert\@$mydomain";
# (Always add spam headers)
$sa_tag_level_deflt  = -100;
# (Add spam detected header aka X-Spam-Status: Yes)
$sa_tag2_level_deflt = 5;
# (Trigger evasive action at this spam level)
$sa_kill_level_deflt = $sa_tag2_level_deflt;
# (Do not send delivery status notification to sender.  It does not affect
# delivery of spam to recipient. To do that, use the kill_level)
$sa_dsn_cutoff_level = 10;
# Don't bounce messages left and right, quarantine
# instead
$final_virus_destiny      = D_DISCARD;  # (defaults to D_DISCARD)
$final_banned_destiny     = D_DISCARD;  # (defaults to D_BOUNCE)
$final_spam_destiny       = D_DISCARD;  # (defaults to D_BOUNCE)

사용자에게 배달을 원치 않는 바이러스 메일를 보관할 격리 디렉터리를 만드십시오.

ClamAV 설정

바이러스 검사기로 상업용 프로그램과 거의 비슷하게 양호한 감지율을 보이는 ClamAV를 활용하겠습니다. 상당히 빠르고 게다가 오픈소스 소프트웨어입니다. 기록 파일을 좋아하니 syslog 에게 clamd 로그를 만들게 하고 로그 내용을 자세하게 뽑도록 하겠습니다. clamd를 root 계정으로 실행하지 마십시오. 이제 /etc/clamd.conf 파일을 편집하겠습니다.

# (Verbose logging with syslog)
LogSyslog
LogVerbose
LogFacility LOG_MAIL
# (Change pid file location)
PidFile /var/run/amavis/clamd.pid
# (Set the clamav socket)
LocalSocket /var/amavis/clamd
# (Close the connection when this limit is exceeded)
StreamMaxLength 10M
# (Don't run clamd as root)
User amavis
# (Newer versions require you to uncomment this)
ScanMail
ScanArchive

ClamAV는 바이러스 서명 업데이트를 주기적으로 확인하는 freshclam 데몬이 들어있습니다. freshclam가 바이러스 서명을 하루에 두번 업데이트 하게 하는 대신 매 두시간마다 업데이트하게 하겠습니다.

# (Syslog logging)
LogSyslog
# (Verbose logging)
LogVerbose
# (Explicitly drop root privileges)
DatabaseOwner clamav
# (Check for updates every two hours. That is the official recommendation)
Checks 12
# (Use the mirror closest to you. Replace XY with your country code)
DatabaseMirror db.XY.clamav.net

/etc/conf.d/clamd를 수정하여 초기화 스크립트로 clamd와 freshclam를 시작하십시오.

START_CLAMD=yes
START_FRESHCLAM=yes
CLAMD_NICELEVEL=3
FRESHCLAM_NICELEVEL=19
IONICE_LEVEL=2

마지막으로 amavisd.conf 파일에서 새 소켓 위치 값으로 바꾸십시오.

# (Uncomment the clamav scanner and modify socket location)
['ClamAV-clamd',
\&ask_daemon, ["CONTSCAN {}\n", "/var/amavis/clamd"],
  qr/\bOK$/, qr/\bFOUND$/,
  qr/^.*?: (?!Infected Archive)(.*) FOUND$/ ],

Vipul's Razor 설정

Razor2는 협업 분산 스팸 검사합 네트워크입니다. emerge razor 명령으로 설치하고 필요한 설정 파일을 만드십시오. amavis 사용자로 su - amavis 다음 razor-admin -create를 입력하여 실행하십시오.

분산 검사합 정리 저장소(Distributed Checksum Clearinghouse : dcc) 설정

Razor2와 같이 dcc는 협업 분산 스팸 검사합 네트워크입니다. 이 프로그램의 동작 개념은 제각각의 메일을 식별하도록 주어진 메일의 여러 수신자를 퍼지 체크섬을 통해 계수하는 것입니다.

Spamassassin 설정

Amavis는 스팸 어쌔신 펄 라이브러리를 바로 활용하므로 서비스를 시작할 필요가 없습니다. 또한 /etc/mail/spamassassin/local.cf에 일부 스팸 어쌔신 설정을 넣고 /etc/amavisd.conf 의 옵션을 덮어쓰므로 설정상 혼동을 유발합니다.

# Enable the Bayes system
use_bayes               1
  
# Enable all network checks
skip_rbl_checks         0
  
# Mail using languages used in these country codes will not be marked
# as being possibly spam in a foreign language.
# - danish english norwegian swedish
ok_languages            da en no sv
  
# Mail using locales used in these country codes will not be marked
# as being possibly spam in a foreign language.
ok_locales              en
  
# Use a sensible bayes path
bayes_path              /var/amavis/.spamassassin/bayes

모든 바람직한 규칙에는 마찬가지로 바람직한 예외가 있습니다

메일 전달을 시작하고 나면 이 메일 게이트웨이에서 설정이 완벽하지 않음을 깨닫게 됩니다. 아마도 어떤 고객은 다른사람이 못받은 메일을 받고 싶어하겠죠. 송신자를 화이트 리스트에 넣거나 블랙리스트에 쉽게 넣을 수 있습니다. amavisd.conf에서 다음 줄의 주석을 해제하십시오.

read_hash("/var/amavis/sender_scores_sitewide"),

sender_scores_sitewide 파일에는 완전한 전자메일 주소를 넣거나 도메인 부분만 넣고 양/음 가중치를 표기하여 스팸 가중치를 추가할 수 있습니다.

# (Whitelist all emails from the specific email address)
postmaster@example.net                -3.0
# (Whitelist all emails from the example.net excluding subdomains)
.example.net                          1.0

더 나은 방법을 기다리는 동안 다음 설정을 amavisd.conf에 넣어 postmaster와 abuse의 메일함에 들어가는 메일에 대해서는 스팸 검사를 통과하도록 할 수 있습니다.

map { $bypass_spam_checks{lc($_)}=1 } (qw(
        postmaster@
        abuse@
));

더 많은 규칙 추가

SpamAssassin Rules Emporium 의 SARE Ninjas에서 제공하는 더 많은 규칙을 활용하려면 스팸 어쌔신에 들어있는 sa-update 매커니즘을 활용하여 쉽게 추가하고 업데이트할 수 있습니다.

sa-update 명령으로 SARE 규칙 세트를 활용하는 안내 요약서는 여기에서 찾을 수 있습니다.

시험 및 마무리

설정 시험

이제 freshclam을 시작하기 전에 동작하는지 직접 확인할 수 있습니다.

ClamAV update process started at Sun May  2 09:13:41 2004
Reading CVD header (main.cvd): OK
Downloading main.cvd [*]
main.cvd updated (version: 22, sigs: 20229, f-level: 1, builder: tkojm)
Reading CVD header (daily.cvd): OK
Downloading daily.cvd [*]
daily.cvd updated (version: 298, sigs: 1141, f-level: 2, builder: diego)
Database updated (21370 signatures) from database.clamav.net (193.1.219.100).

이제 최신 바이러스 정의를 받았고 freshclam.conf가 제대로 동작함을 알았습니다.

freshclam과 amavisd를 명령행 인터페이스와 amavisd 시험 메일로 시험해보십시오. 다음 명령으로 clamd와 amavis 를 시작하십시오:

모든게 잘 처리됐다면 postfix는 25번 포트를 통해 메일을 기다리며 10024번을 통해 메일을 다시 넣습니다. 동작을 확인하려면 로그 파일을 확인하십시오.

이제 로그 파일에 이상한 메시지가 안나타난다면 새로 테스트 해볼 시간입니다.

netcat으로 amavisd에 접속할 때 10024 포트를, postfix에 접속할 때 10025 포트를 활용하십시오.

220 [127.0.0.1] ESMTP amavisd-new service ready

220 example.com ESMTP Postfix

amavisd 와 clamd를 default 런레벨에 추가하십시오.

전자메일 자동 숙지 및 열외처리

spamtrap 사용자 만들기

spamtrap 계정과 디렉터리를 민드십시오.

spamtrap 사용자에게 제대로 된 암호를 부여하십시오.

메일 검사 결과중 일부가 거짓 양성 반응을 보이는지 직접 확인하려면 다음의 procmail을 활용하여 다른 메일 폴더에서 스팸이 나오지 않게 할 수 있습니다.

.procmailrc 만들기

#Set some default variables
MAILDIR=$HOME/.maildir
  
SPAM_FOLDER=$MAILDIR/.spam-found/
  
LIKELY_SPAM_FOLDER=$MAILDIR/.likely-spam-found/
  
#Sort mails with a spamscore of 7+ to the spamfolder
:0:
* ^X-Spam-Status: Yes
* ^X-Spam-Level: \*\*\*\*\*\*\*
$SPAM_FOLDER
  
#Sort mail with a spamscore between 5-7 to the likely spam folder
:0:
* ^X-Spam-Status: Yes
$LIKELY_SPAM_FOLDER
  
#Sort all other mails to the inbox
:0
*
./

이제 Postfix 에서 메일을 전달할 때 procmail을 사용하는지 확인하십시오.

mailbox_command = /usr/bin/procmail -a "DOMAIN"

메일 폴더 만들기

이제 햄과 스팸을 처리할 공유 폴더를 만들겠습니다.

Amavisd-new에서는 모든 메일 사용자와 마찬가지로 이 파일을 읽을 수 있어야합니다. 따라서 amavis와 연관된 mailuser 그룹에 모든 관련 사용자를 추가하겠습니다.

이 명령 처리를 통해 스팸과 햄 폴더를 읽지는 못하고 쓰기만 가능하게 합니다. 이 방식으로 사용자들이 햄 메일을 읽지 못하게 하면서 안전하게 메일함에 넣을 수 있습니다.

spamtrap 사용자로 다음 명령을 실행하십시오:

크론 작업 추가

이제 crontab -u amavis -e를 실행하여 amavis 사용자의 크론탭을 편집하고, 베이지언 필터에서 자동 학습 하는 동작을 매 시간마다 수행하도록 활성화하십시오.

#Auto learn
0 * * * *          /usr/bin/sa-learn --spam /var/amavis/.maildir/Bayes/.spam/{cur,new} \
                    > /dev/null 2>&1
0 * * * *          /usr/bin/sa-learn --ham /var/amavis/.maildir/Bayes/.ham/{cur,new} > \
                   /dev/null 2>&1

amavisd.conf 수정

이제 amavis가 spamtrap 계정으로 스팸 메일을 돌려보내게 하고 스팸 헤더를 유지하도록 하겠습니다.

# (Define the account to send virus spam emails)
$spam_quarantine_to = "spamtrap\@$myhostname";

정리

메일을 계속 두고 싶지 않기 때문에 주기적으로 지우기 위해 tmpwatch 프로그램을 사용하겠습니다. emerge tmpwatch 명령으로 이머지하십시오. root 계정만 tmpwatch를 실행할 수 있으니 root 크론탭을 편집해야합니다.

# Clean up
# Keep virusmails for a week (24*7 hours)
15 0 * * *      /usr/sbin/tmpwatch -c -f -d --quiet 168 /var/amavis/virusmails/
# Delete spam and ham learned after a week
15 0 * * *      /usr/sbin/tmpwatch -c -f -d --quiet 168 /var/amavis/.maildir/Bayes/

그레이 리스팅

도입부

그레이리스팅은 스팸 전쟁 무기고에 있는 새 무기중 하나입니다. 이름이 의미하는 바와 같이 화이트리스팅과 블랙리스팅을 함께 처리하는 것 같습니다. 매 때마다 알 수 없는 메일 서버에서 메일을 배달하는데 해당 메일을 try again later 메시지로 거절합니다. 이는 해당 메일을 지연시켰을 뿐만 아니라 머저리 스팸 봇에서 스팸 배달 시도를 차단하고 다시는 시도하지 않게끔 하는 RFC 프로토콜을 구현하지 않았다는 이야기가 되기도 합니다. 이 때 스팸봇에서 설정을 조절하겠지만, 앞으로 스팸을 식별할 때 다른 기술을 적용합니다.

Postfix 2.1은 일련의 스킴을 구현한 단일 Perl 그레이리스팅 정책 서버를 보유하고 있습니다. 하지만, 분할 공간에서 그레이리스팅 데이터베이스를 계속 유지하는 도중에 여분의 공간이 없어지는 예상치 못한 결과에 기능상 장애가 발생합니다. 이 문제에 시달리지 않는 개선 버전이 있습니다. 우선 Postfix에 들어있는 내장 그레이리스팅 지원 기능을 설치하는 방법을 보여드리고, 그 다음 더욱 견고한 대안책을 설정하는 방법을 보여드리겠습니다.

간단한 그레이 리스팅

greylist.pl 파일이 필요하지만 불행하게도 이빌드에서 기본으로 설치해주지 않습니다.

이제 파일을 제 자리에 두었으니 그레이리스팅 데이터베이스를 유지하도록 디렉터리를 만들어야합니다:

그레이 리스팅 설정

이제 모든 것이 준비되었고 남은건 postfix 설정에 추가하는 부분입니다. 우선 필요한 정보를 master.cf 에 추가하겠습니다:

policy-greylist  unix  -       n       n       -       -       spawn
   user=nobody argv=/usr/bin/perl /usr/bin/greylist.pl

증식한 postfix 데몬 프로세스는 보통 1000초가 지나면 하위 프로세스를 강제 종료하지만 그레이리스팅 프로세스에는 상당히 짧은 시간이기에 main.cf에서 제한 시간을 늘려보겠습니다:

policy-greylist_time_limit = 3600
# (Under smtpd_recipient_restrictions add:)
check_sender_access hash:/etc/postfix/sender_access
# (Later on add:)
restriction_classes = greylist
greylist = check_policy_service unix:private/policy-greylist

모든 도메인을 그레이리스팅 처리하지 않겠지만 스패머가 주로 남용하는 도메인에 대해서는 그레이리스팅을 처리합니다. 이후 메일 배달을 지연합니다. 주로 위조하는 MAIL FROM 도메인 목록은 온라인^en에 있습니다. 상당한 양의 스팸을 보내는 도메인을 /etc/postfix/sender_access에 추가하십시오:

aol.com     greylist
hotmail.com greylist
bigfoot.com greylist

더 많은 목록을 살펴보시려면:

이제 sender_access 데이터베이스만을 초기화했습니다:

이제 간단한 그레이 리스팅 설정은 끝났습니다.

postgrey로 그레이 리스팅 설정 개선하기

간단한 emerge 명령으로 개선된 그레이 리스팅 정책 서버를 설치할 수 있습니다:

postgrey를 설치한 후 main.cf를 편집해야 합니다. 바꿀 내용은 이미 그레이리스팅한 내용과 거의 정확하게 비슷합니다.

# (Under smtpd_recipient_restrictions add:)
check_sender_access hash:/etc/postfix/sender_access
# (Later on add:)
smtpd_restriction_classes = greylist
greylist = check_policy_service inet:127.0.0.1:10030

마지막으로, 서버를 시작하고 적당한 런레벨에 추가하십시오.

SPF (전송 정책 프레임워크)

도입부

SPF는 도메인 소유자가 어떤 IP 주소를 해당 도메인에서 메일을 보내도록 허용할지 DNS 레코드에 상태를 언급하도록 합니다. 이 설정은 Return-Path 를 스푸핑한 스패머를 막아줍니다.

우선 도메인 소유자가 특수 TXT DNS 레코드를 만들어야합니다. 이렇게 하면 SPF 활성 MTA에서 이 부분을 확인할 수 있고, SPF에 명시하지 않은 서버에서 온 메일을 거절할 수 있습니다. 예제 항목은 다음과 같습니다:

example.com.  IN TXT  "v=spf1 a mx ptr -all"

-all은 기본적으로 모든 메일을 거절하지만 A( a ), MX( mx ), PTR( ptr ) DNS 레코드의 조건에 일치하는 도메인에서 온 메일은 허용한다는 의미입니다. 더 많은 내용을 찾아보려면 페이지 하단의 자료를 참고하십시오.

스팸 어쌔신 3.0에서는 SPF를 지원합니다만, 기본적으로 활성화 상태가 아니며 Postfix의 새 정책 데몬에서 SPF를 지원합니다. 따라서, Postfix의 SPF 지원을 설치하겠습니다.

준비

우선 postfix 2.1을 위에서 설명한대로 설치하십시오. 소스코드를 가져왔으면 spf.pl을 찾아 다음 명령을 수행하십시오:

펄 스크립트는 현재 포티지에 없는 펄 라이브러리를 필요로하지만, 설치는 여전히 단순합니다:

이제 적재적소에 갖춰야할 모든 것을 갖췄으니 이제 필요한 모든건 postfix를 새 정책을 기반으로 동작하도록 설정하는 일입니다.

policy-spf  unix  -       n       n       -       -       spawn
   user=nobody argv=/usr/bin/perl /usr/local/bin/spf.pl

SPF 검사항목을 main.cf에 추가하십시오. 제대로 설정한 SPF에는 문제가 없어야 하며 모든 도메인에 대해 SPF를 점검할 수 있어야합니다:

# (Under smtpd_recipient_restrictions add:)
check_policy_service unix:private/policy-spf

MySQL을 활용하여 amavisd-new 설정

MySQL 설정

거대 도메인에 대해 amavisd.conf에서 설정할 수 있는 기본 값은 모든 사용자에게 적절한 값이 아닐 수도 있습니다. amavisd-new와 MySQL 지원기능을 함께 쓰도록 설정한다면 사용자 또는 사용자의 그룹별로 각각 설정할 수 있습니다.

Enter password:
Welcome to the MySQL monitor.  Commands end with ; or \g.
Your MySQL connection id is 78 to server version: 4.0.18-log
  
Type 'help;' or '\h' for help. Type '\c' to clear the buffer.

이제 데이터베이스를 만들었으니 필요한 테이블을 만들겠습니다. mysql 프롬프트에 다음 구문을 잘라다가 붙여넣을 수 있습니다:

CREATE TABLE users (
    id         int unsigned NOT NULL auto_increment,
    priority   int          NOT NULL DEFAULT '7',  -- 0 is low priority
    policy_id  int unsigned NOT NULL DEFAULT '1',
    email      varchar(255) NOT NULL,
    fullname   varchar(255) DEFAULT NULL,    -- not used by amavisd-new
    local      char(1),     -- Y/N  (optional field, see note further down)
    PRIMARY KEY (id),
    KEY email (email)
    );
CREATE UNIQUE INDEX users_idx_email ON users(email);
  
# (any e-mail address, external or local, used as senders in wblist)
CREATE TABLE mailaddr (
   id         int unsigned NOT NULL auto_increment,
   priority   int          NOT NULL DEFAULT '7',  -- 0 is low priority
   email      varchar(255) NOT NULL,
   PRIMARY KEY (id),
   KEY email (email)
   );
CREATE UNIQUE INDEX mailaddr_idx_email ON mailaddr(email);
  
# (-- per-recipient whitelist and/or blacklist,
# -- puts sender and recipient in relation wb)
# (white or blacklisted sender)
CREATE TABLE wblist (
   rid        int unsigned NOT NULL,     -- recipient: users.id
   sid        int unsigned NOT NULL,     -- sender:    mailaddr.id
   wb         char(1) NOT NULL, -- W or Y / B or N / space=neutral
   PRIMARY KEY (rid,sid)
   );
  
CREATE TABLE policy (
   id               int unsigned NOT NULL auto_increment,
   policy_name      varchar(32),     -- not used by amavisd-new
   virus_lover          char(1),     -- Y/N
   spam_lover           char(1),     -- Y/N  (optional field)
   banned_files_lover   char(1),     -- Y/N  (optional field)
   bad_header_lover     char(1),     -- Y/N  (optional field)
   bypass_virus_checks  char(1),     -- Y/N
   bypass_spam_checks   char(1),     -- Y/N
   bypass_banned_checks char(1),     -- Y/N  (optional field)
   bypass_header_checks char(1),     -- Y/N (optional field)
   spam_modifies_subj   char(1),     -- Y/N (optional field)
   spam_quarantine_to   varchar(64) DEFAULT NULL, -- (optional field)
   spam_tag_level  float,  -- higher score inserts spam info headers
   spam_tag2_level float DEFAULT NULL,  -- higher score inserts
               -- 'declared spam' info header fields
   spam_kill_level float,  -- higher score activates evasive actions, e.g.
               -- reject/drop, quarantine, ...
               -- (subject to final_spam_destiny setting)
   PRIMARY KEY (id)
  );

화이트리스팅 및 블랙리스팅을 활용하려면 wblist에 송신자와 수신자의 전자메일 주소간 관계를 만들고 난 후 mailadr 에 송신자 및 수신자 메일 주소를 추가하고, 화이트리스트 처리할 지( W ), 블랙리스트 처리할 지( B )를 명시해야합니다.

이제 테이블을 만들었으니 test 사용자와 test 정책을 넣어보겠습니다:

INSERT INTO users
   SET
      id         =1,
      priority   =9,
      policy_id  =1,
      email      ="johndoe@example.com",
      fullname   ="John Doe",
      local      ="Y";
  
INSERT INTO policy
   SET
      id                     =1,
      policy_name            ="Test policy 1",
      virus_lover            ="N",
      spam_lover             ="N",
      banned_files_lover     ="N",
      bad_header_lover       ="N",
      bypass_virus_checks    ="N",
      bypass_spam_checks     ="N",
      bypass_banned_checks   ="N",
      bypass_header_checks   ="N",
      spam_modifies_subj     ="N",
      spam_quarantine_to     =NULL,
      spam_tag_level         =-50.0,
      spam_tag2_level        =7.0,
      spam_kill_level        =10.0;

이 구문은 test 사용자와 Test 정책을 넣습니다. 이 예제를 요구에 맞춰 약간 조절해나가십시오. 설정 이름에 대한 더 많은 설명은 amavisd.conf 에서 찾을 수 있습니다.

MySQL을 활용하여 amavisd 설정

이제 amavis에 MySQL을 사용하라고 할 준비가 되었습니다:

@lookup_sql_dsn =
   ( ['DBI:mysql:maildb:host1', 'mail', 'very_secret_password']  );
  
# (For clarity uncomment the default)
$sql_select_policy = 'SELECT *,users.id FROM users,policy'.
   ' WHERE (users.policy_id=policy.id) AND (users.email IN (%k))'.
   ' ORDER BY users.priority DESC';
  
# (If you want sender white/blacklisting)
   $sql_select_white_black_list = 'SELECT wb FROM wblist,mailaddr'.
     ' WHERE (wblist.rid=?) AND (wblist.sid=mailaddr.id)'.
     '   AND (mailaddr.email IN (%k))'.
     ' ORDER BY mailaddr.priority DESC';
</pre>

MySQL을 활용하도록 스팸 어쌔신 설정

스팸 어쌔신 3.0에서 Bayes와 AWL 데이터를 MySQL에 저장할 수 있습니다. MySQL이 다른 데이터베이스에 비하면 무난한 동작을 수행할 수 있으므로 MySQL을 백엔드로 활용하겠습니다. 두가지 데이터 모음을 처리하는데 MySQL을 활용하면 시스템 관리가 더 쉬워집니다. 쉽게 처리하는 방법을 보여드리겠습니다.

우선 새 MySQL 사용자를 만들고 필요한 테이블을 만드십시오.

Enter password:
Welcome to the MySQL monitor.  Commands end with ; or \g.
Your MySQL connection id is 78 to server version: 4.0.18-log
  
Type 'help;' or '\h' for help. Type '\c' to clear the buffer.

이제 데이터베이스를 만들었으니 필요한 테이블을 만들겠습니다. mysql 프롬프트에 다음 구문을 잘라다가 붙여넣을 수 있습니다:

CREATE TABLE bayes_expire (
          id                    int(11)         NOT NULL default '0',
          runtime               int(11)         NOT NULL default '0',
          KEY bayes_expire_idx1 (id)
          ) TYPE=MyISAM;
  
      CREATE TABLE bayes_global_vars (
          variable              varchar(30)     NOT NULL default '',
          value                 varchar(200)    NOT NULL default '',
          PRIMARY KEY           (variable)
          ) TYPE=MyISAM;
  
      INSERT INTO bayes_global_vars VALUES ('VERSION','3');
  
      CREATE TABLE bayes_seen (
          id                    int(11)         NOT NULL default '0',
          msgid                 varchar(200) binary NOT NULL default '',
          flag                  char(1)         NOT NULL default '',
          PRIMARY KEY           (id,msgid)
          ) TYPE=MyISAM;
  
      CREATE TABLE bayes_token (
          id                    int(11)         NOT NULL default '0',
          token                 char(5)         NOT NULL default '',
          spam_count            int(11)         NOT NULL default '0',
          ham_count             int(11)         NOT NULL default '0',
          atime                 int(11)         NOT NULL default '0',
          PRIMARY KEY           (id, token),
          INDEX (id, atime)
          ) TYPE=MyISAM;
  
      CREATE TABLE bayes_vars (
          id                    int(11)         NOT NULL AUTO_INCREMENT,
          username              varchar(200)    NOT NULL default '',
          spam_count            int(11)         NOT NULL default '0',
          ham_count             int(11)         NOT NULL default '0',
          token_count           int(11)         NOT NULL default '0',
          last_expire           int(11)         NOT NULL default '0',
          last_atime_delta      int(11)         NOT NULL default '0',
          last_expire_reduce    int(11)         NOT NULL default '0',
          oldest_token_age      int(11)         NOT NULL default '2147483647',
          newest_token_age      int(11)         NOT NULL default '0',
          PRIMARY KEY           (id),
          UNIQUE bayes_vars_idx1 (username)
          ) TYPE=MyISAM;
  
      CREATE TABLE awl (
          username              varchar(100)    NOT NULL default '',
          email                 varchar(200)    NOT NULL default '',
          ip                    varchar(10)     NOT NULL default '',
          count                 int(11)         default '0',
          totscore              float           default '0',
          PRIMARY KEY           (username,email,ip)
          ) TYPE=MyISAM;

MySQL 백엔드를 사용하도록 스팸 어쌔신 설정

DBM 데이터베이스에서 오래된 Bayes 데이터베이스를 보유하고 있고 다음 절차를 통해 유지하려면:

이제 필요한 정보를 스팸 어쌔신에 제공하십시오:

# (Tell Spamassassin to use MySQL for bayes data)
bayes_store_module              Mail::SpamAssassin::BayesStore::SQL
bayes_sql_dsn                   DBI:mysql:sa_bayes:localhost:3306
bayes_sql_username              db_name
bayes_sql_password              another_very_secret_password
  
# (Tell Spamassassin to use MySQL for AWL data)
auto_whitelist_factory          Mail::SpamAssassin::SQLBasedAddrList
user_awl_dsn                    DBI:mysql:sa_bayes:localhost:3306
user_awl_sql_username           db_name
user_awl_sql_password           another_very_secret_password

다음 보안 수준을 만족스러운 수준으로 끌어올리기 위해 권한을 바꾸십시오:

이제 해야 할 일은 /etc/init.d/amavisd restart 명령의 실행입니다.

문제 해결

Amavisd-new

Amavisd-new 문제를 해결하려면 /etc/init.d/amavisd stop 명령으로 서비스를 멈추고 amavisd debug 명령으로 전면 실행하여 출력 내용에 이상한 점이 없는지 관찰하십시오.

스팸 어쌔신

스팸 어쌔신의 문제를 찾을 때 spamassassin -D < mail 명령으로 전자메일을 걸러볼 수 있습니다. 헤더에 문제가 없는지 확인하려면 다른 머신에서 IMAP으로 메일을 가져올 수 있습니다.

동일한 정보와 Amavisd-new 동작에 대한 더 많은 정보를 가져오고 싶게 하려면 amavisd debug-sa 명령을 사용하십시오.

설치 후 작업 반복 처리

if [ "${PN}" == "amavisd-new" ] &&
   [ "${EBUILD_PHASE}" == "postinst" ]; 
then
  chown -R amavis:mailusers /var/amavis/.maildir
fi

도움 받기

도움이 필요하다면 amavis-user 메일링 리스트가 바람직한 곳이 되겠습니다. 질문을 올리기 전에 Amavis 사용자 메일링 리스트 보관소에서 검색해보십시오. 만약 답변을 못찾았다면 Amavis 사용자 메일링 리스트에 가입할 수 있습니다.

질문이 스팸 어쌔신, DCC, Razor, Postfix에 관련된 질문이라면 하단에 언급한 각각의 홈페이지를 참고하십시오.

자료

더 많은 정보

• Amavisd-new INSTALL
• Amavisd-new Postfix README
• Amavisd-new Policy bank documentation
• Spamassassin SQL README
• Greylisting
• Postfix SMTPD_POLICY_README
• Blocking spammers with Postfix HELO controls
• SPF Overview
• Jim Seymour's Postfix Anti-UCE Cheat Sheet

일반 자료

• 스팸 어쌔신
• Amavisd-new
• Amavisd-new 문서 모음
• Vipuls's Razor
• Pyzor
• 분산 검사합 정리 저장소
• Maia Mailguard

This page is based on a document formerly found on our main website gentoo.org.
The following people contributed to the original document: Sune Kloppenborg Jeppesen, Jens Hilligs, Joshua Saddler
They are listed here because wiki history does not allow for any external attribution. If you edit the wiki article, please do not add yourself here; your contributions are recorded on each article's associated history page.