专门作为转信服务器的postfix的一些优化,参考postfix官方性能优化文档:
禁用header和body checker
禁用chroot
在hosts文件里做好域名反解
做个本地DNS cache加速域名解析
编辑master.cf,修改maxproc为2048
修改smtpd_client_connection_count_limit为1024
修改smtpd_client_connection_rate_limit为0
ulimit -n 819200
参数不是最合适的,但应该是足够大的,500用户,在dell 1950标配机上跑着没问题。
1、修改/usr/lib/courier-imap/etc/pop3d
MAXDAEMONS=512
MAXPERIP=9000
2、修改/etc/authlib/authdaemonrc
daemons=256
3、修改/etc/amavisd.conf
$max_servers = 50;
4、修改/usr/sbin/apachectl
HTTPD=’/usr/sbin/httpd.worker’
5、修改/etc/httpd/conf/httpd.conf
<IfModule worker.c>
StartServers 10
MaxClients 1500
ServerLimit 100
MinSpareThreads 25
MaxSpareThreads 75
ThreadsPerChild 25
MaxRequestsPerChild 0
</IfModule>
6、修改/etc/clamd.conf
MaxThreads 50
7、修改/etc/my.cnf
max_connections=2048
8、去除rar打包exe会被ban的问题
编辑/etc/amavisd.conf,把$banned_filename_re = new_RE 这段内容相应的修改下
如果你知道该重启哪些服务,就重启这些服务,不清楚的话重启下系统就好。
9、加强发信人限制策略
编辑/etc/postfix/master.cf,把-o smtpd_client_restrictions=permit_sasl_authenticated,reject这行注释去掉。
10、仅允许同域用户给别名群发邮件。
原来的思路是用邮件列表做控制,后来发现邮件列表越搞越复杂越多事,又搜索了一把,发现用postfix的发信和收信人策略搞更方便,分享之。
A、 创建local_recipient和local_domains两个文件
[root@a postfix]# pwd
/etc/postfix
[root@a postfix]# cat local_recipient
allstaff@a.com local_only
[root@a postfix]# cat local_domains
a.com OK
127.0.0.1 OK
youip OK
B、 产生db文件,如果修改过/etc/postfix/local_recipient和/etc/postfix/local_domains文件内容,需要重新执行下面的命令才可生效。
postmap hash:/etc/postfix/local_recipient
postmap hash:/etc/postfix/local_domains
C、 在main.cf里加入两行
smtpd_restriction_classes = local_only
local_only = check_sender_access hash:/etc/postfix/local_domains, reject
D、 在main.cf里给smtpd_sender_restrictions加个规则check_recipient_access hash:/etc/postfix/local_recipient,结果如下:
smtpd_sender_restrictions =
permit_mynetworks,
reject_sender_login_mismatch,
reject_authenticated_sender_login_mismatch,
reject_unauthenticated_sender_login_mismatch,
reject_unknown_sender_domain,
check_recipient_access hash:/etc/postfix/local_recipient
F、 重启postfix。
此时非a.com用户无法给allstaff发信。
弹回信息如下:
你发送到allstaff@a.com的邮件由于以下原因被退回 :
allstaff@a.com SMTP error, RCPT TO: 554 5.7.1 <allstaff@a.com>: Recipient address rejected: Access denied
请到http://help.163.com/special/0075 ... hdrawal_letter.html 查询退信原因。
参考了http://www.extmail.org/forum/vie ... ra=& amp;page=1和http://www.extmail.org/forum /vi ... peid%3D1&page=1
对postfix 的性能进行控制,是通过对postfix 一些参数的配置来调节postfix的性能,这些参数都是通过mail.cf 配置文件进行配置的.下面主要介绍下这些参数:
1. smtpd_delay_reject参数 作用:rcpt to指令前的过滤动作,设置为no来使过滤动作立刻生效.
信封过滤分为四个阶段:
•连接ip(client)在.Smtp连接时,由smptd_client_restrictions参数来限制
•连接方(helo)在发送HELO/EHLO指令时,由smtpd_helo_restrictions参数来限制
•发信方(sender)在发送Mail from指令时,由smtpd_sendert_restrictions参数来限制
• 收信方(recipient)在发送Rcpt to指令时,可由smtpd_recipient_restrictions参数来限制
默认拒绝动作不会在匹配拒绝规则后就立刻断开连接,通过把smtpd_delay_reject设置为no来立刻断开连接.从而有效的节约垃圾邮件造成的带宽和处理能力的浪费.
2. disable_vrfy_command 参数 作用:限制外界使用VERY命令来侦测收件地址的有效性,垃圾邮件发送者常用这种技巧来收集邮件地址. 如:disable_vrfy_command =yes
3. 进程数限制 通过default_process_limit 参数来控制postfix 系统同时可以运行的最大进程数目,缺省值是50 个. 如:default_process_limit = 100
4.对同一目标主机的并发连接限制 当向同一目标主机发出SMTP 连接时,postfix 初始化发出两个SMTP 连接,如果投递成功则增加并发的SMTP 连接数目,遇到拥塞时又减少并发连接的数目。postfix 中通过以下的参数对同一目标主机的并发连接进行控制:
•initial_destination_concurrency:控制对同一目标主机的初始化并发连接数目。缺省值为2。
•default_destination_concurrency_limit:控制初始化连接后对同一目标主机的最大并发连接数目。缺省值为10。
•local_destination_concurrency_limit:控制对同一本地收件人的最大同时投递的邮件数目。缺省值为2,因为对本地同一收件人投递邮件时投递工作只能一个接一个的进行,所以设得在大也没用。
5. 对同一封邮件的收件人数目限制 通过default_destination_recipient_limit 参数来控制postfix 的投递代理(如smtp 进程)可以将同 一封邮件发送给多少个收件人。也可以用smtpd_recipient_limit明确指出该投递代理的参数来覆盖该缺省值. 如:smtpd_recipient_limit = 100
6.关于延迟邮件的再投递控制 可以通过以下的几个参数实现对延迟邮件的再投递控制:
•queue_run_delay:设置队列管理进行扫描deferred 邮件队列的频率,缺省值为1000 秒。
•maximal_queue_lifetime:设置postfix 在放弃投递而返回不可投递信息前,被延迟邮件再deferred 邮件队列中的生存时间。
•minimal_backoff_time:当一封邮件投递失败后,邮件队列将在一段时间内忽视该邮件的存在,也就是我们前面讲的时间邮票。该参数就是用来设置最小的时间邮票。缺省值为1000 秒。
•maximal_backoff_time:设置最大的时间邮票。
7. 对拒绝服务攻击的处理 postfix 对每一个SMTP 会话都设置一个错误计数器,当该客户端的请求未被接受或违反那UCE 规则时,该 计数器就增1。随着计数器的增加,postfix将采取不同的措施来防止恶意用户的拒绝服务攻击。
•smtpd_error_sleep_time:当该错误计数器的值还很小时,postfix 将暂停.
•smtpd_error_sleep_time 指定的时间,然后向客户端报告一个错误。该参数的缺省值为5 秒。
•smtpd_soft_error_limit:当错误计数器的值超过该参数指定的值时,postfix 在响应该客户端请求前将沉睡一段时间。
•smtpd_hard_error_limit:当错误计数器的值超过该参数指定的值时,postfix中断同该客户端的连接. 如:smtpd_hard_error_limit = 10
#this file replace main.cf of postfix
soft_bounce = no
(设定成yes时,原本应该退信的动作,会改成将邮件放回队列,等待下次递送;此外,原本应该响应永久错误(5xx)的状况,一律改成以暂时性错误码(4xx)响应)
queue_directory = /var/spool/postfix
(队列目录路径,queue_minfree:邮件队列中可用的空间大小。缺省为无限制。建议该值最好时message_size_limit 的数倍以便于处理大邮件。)
command_directory = /usr/sbin
(postfix的命令行管理工具(postcat、postqueue等)的存放目录)
daemon_directory = /usr/libexec/postfix
mail_owner = postfix
(设置邮件及邮件队列的所有者为postfix)
default_privs = nobody
myhostname = mail.mail23.cn4e.com
(设置邮件服务器的主机名)
mydomain = mail23.cn4e.com
(设置邮件服务器的域名)
myorigin = $myhostname
(网域名称,要附加到只含人名部份不完整邮件地址的网域名称)
inet_interfaces = all
(设置postfix 服务监听的端口)
unknown_local_recipient_reject_code = 450
(响应码,客户端试图寄信给不存在的本地网域用户时,Postfix用于拒绝客户端的SMTP响应码)
mynetworks = 127.0.0.1/32,202.67.xxx.xxx/32
(设置可转发(Relay)哪些网络的邮件,通过本邮件系统寄出邮件的网络地址或IP地址)
alias_maps = mysql:/etc/postfix/mysql_virtual.cf
(指定使用的别名数据库,当邮件在本地投递时,local 投递代理进程会在别名数据库(linux 下为/etc/aliases)中查询收件人的别名。该操作不会作用于邮件信头中的地址。)
alias_database = mysql:/etc/postfix/mysql_virtual.cf
(可以通过alias_database 参数控制别名数据库的路径)
home_mailbox = Maildir/
(表示要使用maildir格式的邮箱)
header_checks = regexp:/etc/postfix/header_check
(限制接收邮件的信头格式,如果符合指定的格式,则拒绝接收该邮件)
local_destination_concurrency_limit = 1
(并发进程的限制,local_destination_concurrency_limit:控制对同一本地收件人的最大同时投递的邮件数目。因为对本地同一收件人投递邮件时投递工作只能一个接一个的进行,所以设得在大也没用。)
debug_peer_level = 2
debugger_command =
PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin
xxgdb $daemon_directory/$process_name $process_id & sleep 5
(这两项默认,不要去改)
sendmail_path = /usr/sbin/sendmail
(Postfix的sendmail兼容程序的完整路径.sendmail主要是供脚本或命令行用来寄送邮件)
newaliases_path = /usr/bin/newaliases
(用于重建别名数据库的newaliaser程序的完整路径)
mailq_path = /usr/bin/mailq
setgid_group = postdrop
(Postfix用来提交邮件或管理队列的组标识符)
manpage_directory = /usr/local/man
(Postfix在线说明书的存放目录)
sample_directory = /etc/postfix
(存放Postfix配置文件样本的目录)
readme_directory = no
tls设置
smtpd_use_tls = yes
smtp_tls_note_starttls_offer = yes
smtpd_tls_key_file = /etc/postfix/key.pem
smtpd_tls_cert_file = /etc/postfix/cert.pem
smtpd_tls_CAfile = /etc/postfix/CAcert.pem
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
tls_random_source = dev:/dev/urandom
allow_untrusted_routing = no
smtpd_sasl_auth_enable = yes
(指定是否启用SASL作为SMTP认证,默认为no)
smtpd_sasl_local_domain =
(采用Cyrun-SASL V2版进行认证,这里不作设置)
smtpd_recipient_restrictions=check_sender_access hash:/etc/postfix/local_out_senders,permit_mynetworks,mysql:/etc/postfix/mysql_smtpd_rec_limit.cf,permit_sasl_authenticated,permit_auth_destination, reject
(通过收件人地址进行过滤,通过发件人在执行RCPT TO 命令时提供的地址进行限制.
permit_auth_destination:不管客户端的主机名,只要符合以下的条件,就接受SMTP 连接请求:
* 解析后的目标地址符合$relay_domains 及其子域
* 解析后的目标地址符合$inet_interfaces、$mydestination 或$virtual_maps
reject_unauth_destination:不管客户端的主机名,只要符合以下的条件,就拒绝该客户端SMTP 连接请求:
* 解析后的目标地址符合$relay_domains 及其子域
* 解析后的目标地址符合$inet_interfaces、$mydestination 或$virtual_maps
check_recipient_access:根据解析后的目标地址、父域搜索access 数据库。如果搜索的结果为REJECT 或者 “[45]XX text” 则拒绝该客户端的连接请求;如果搜索的结果为OK、RELAY 或数字则接受该客户端的连接请求。
reject_unknown_recipient_domain:如果收件人的邮件地址在DNS 中没有相应的A 或 MX 记录则拒绝该客户端的连接请求)
smtpd_restriction_classes = local_only
(自定义规范等级的名称,每一组规范等级,都是由一系统UBE限制条件组成)
local_only = check_recipient_access hash:/etc/postfix/local_domains,reject
broken_sasl_auth_clients = yes
(表示是否兼容非标准的SMTP认证)
smtpd_sasl_security_options = noanonymous
(用来限制某些登录方式,参数设置为noanonymous,则表示禁止采用匿名登录方式)
virtual_gid_maps = static:12
virtual_alias_maps = mysql:/etc/postfix/mysql_virtual.cf
(指定含有虚拟别名域定义的文件路径)
virtual_mailbox_base = /mail
(虚拟邮箱文件的相对路径起点)
virtual_mailbox_domains = mysql:/etc/postfix/mysql_virtual_domains_maps.cf
virtual_mailbox_maps = mysql:/etc/postfix/mysql_virtual_mailbox_maps.cf
message_size_limit = 524288000
(限制postfix 队列文件的大小。)
mailbox_size_limit = 629145600
(单封邮件的邮箱大小)
virtual_transport = maildrop
(用于投递邮件到虚拟邮箱地址的默认传输服务)
virtual_uid_maps = static:12346
bounce_size_limit = 50000
(限制某一邮件不可投递时,返回给发件人不可投递报告的大小)
smtpd_client_restrictions = mysql:/etc/postfix/mysql_smtpd_client_limit.cf,permit_sasl_authenticated
(限制可以向Postfix发起SMTP连接的客户端的主机名或IP地址,限制规则是按照查询的顺序进行的,)
smtpd_sender_restrictions = permit_mynetworks,mysql:/etc/postfix/mysql_smtpd_sender_limit.cf,reject_sender_login_mismatch,permit_sasl_authenticated,reject_unknown_sender_domain
(通过发件人地址进行限制,通过发件人在执行MAIL FROM 命令时提供的地址进行限制。可以指定一个或多个参数值,中间用逗号隔开。限制规则是按照查询的顺序进行的,第一条符合条件的规则被执行.
reject_unknown_sender_domain:如果MAIL FROM 命令提供的主机名在DNS中没有相应的A 或 MX 记录则拒绝该客户端的连接请求。
check_sender_access:根据MAIL FROM 命令提供的主机名、父域搜索access 数据库。如果搜索的结果为REJECT 或者 “[45]XX text” 则拒绝该客户端的连接请求;如果搜索的结果为OK、RELAY 或数字则接受该客户端的连接请求。可以通过该参数过滤来自某些不受欢迎的发件人的邮件。)
smtpd_delay_reject=no
(RCPT TO指令前的过滤动作,设置为no来使过滤动作立刻生效)
maildrop_destination_recipient_limit = 1
(Postfix默认会一次性的给多个收件人发邮件,而maildrop每次只处理一个收件人,所以只有第一个收件人能收到邮件,其他的则会被 maildrop不留痕迹的丢弃。把maildrop_destination_recipient_limit设置为1迫使Postfix每次只处理一个收件人,使maildrop能正常工作。)
disable_vrfy_command =yes
(限制外界使用VERY命令来侦测收件地址的有效性,垃圾邮件发送者常用这种技巧来收集邮件地址)
smtpd_helo_restrictions = mysql:/etc/postfix/mysql_smtpd_client_limit.cf,mysql:/etc/postfixsmtpd_recipient_limitmysql_smtpd_helo_limit.cf
(指定客户端在执行HELO命令时发送给POSTFIX的主机名,缺省地,postfix 接收客户端发送的任意形式的主机名。可以指定一个或多个参数值,中间用逗号隔开。限制规则是按照查询的顺序进行的,第一条符合条件的规则被执行。)
default_destination_recipient_limit = 10
(对同一封邮件的收件人数目限制,通过default_destination_recipient_limit 参数来控制postfix 的投递代理(如smtp 进程)可以将同一封邮件发送给多少个收件人。也可以用明确指出该投递代理的参数来覆盖该缺省值。如用smtpd_recipient_limit来指定 smtp 投递代理可以将同一封邮件发送给多少个收件人)
smtpd_helo_required = yes(参数指定客户端在SMTP会话的开始是否发送一个HELO命令)
smtpd_helo_required = yes
smtpd_sender_login_maps = mysql:/etc/postfix/mysql_sender_login_maps.cf
maximal_queue_lifetime = 6h
(设置postfix 在放弃投递而返回不可投递信息前,被延迟邮件再deferred 邮件队列中的生存时间。
minimal_backoff_time:当一封邮件投递失败后,邮件队列将在一段时间内忽视该邮件的存在,也就是时间邮票。该参数就是用来设置最小的
时间邮票。缺省值为1000 秒。
maximal_backoff_time:设置最大的时间邮票。)
queue_run_delay = 3600s
(关于延迟邮件的再投递控制,设置队列管理进行扫描deferred 邮件队列的频率)
sender_bcc_maps = mysql:/etc/postfix/mysql_sender_bcc.cf
(将发信人包含在map文件中的邮件被分到指定邮箱;)
recipient_bcc_maps = mysql:/etc/postfix/mysql_rec_bcc.cf
(将收件人包含在map文件中的邮件被分到指定邮箱。)
fallback_relay = mysql:/etc/postfix/mysql_fallbackrelay.cf
(如果找不到或无法到达正常的目的地,则将邮件转交给此参数列出的IP地址,主机或网域)
smtpd_reject_unlisted_sender = yes
(域伪装)
html_directory = no
smtpd_hard_error_limit = 10
(当错误计数器的值超过该参数指定的值时,postfix中断同该客户端的连接。)
smtpd_banner = $myhostname MAIL@35 – ESMTP Mail Service x64 Version: 3.00.00
(设置向用户显示的主机名和版本信息)
default_process_limit = 100
(进程数限制,可以通过default_process_limit 参数来控制postfix 系统同时可以运行的最大进程数目)
default_destination_concurrency_limit = 10
(控制初始化连接后对同一目标主机的最大并发连接数目。缺省值为10。
当向同一目标主机发出SMTP 连接时,postfix 初始化发出两个SMTP 连接,
如果投递成功则增加并发的SMTP 连接数目,遇到拥塞时又减少并发连接的
数目。postfix 中通过以下的参数对同一目标主机的并发连接进行控制:
* initial_destination_concurrency:控制对同一目标主机的初始化并发连接数目。缺省值为2。)
default_recipient_limit = 100
(限制queue manager为各个传输服务保留在内存里的收件人数量)
smtpd_recipient_limit = 100
(指定smtp 投递代理可以将同一封邮件发送给多少个收件人)
bounce_queue_lifetime = 3h
(退信(弹回)在队列中的保留时间。超过此时间,被认为是无法投递的)
smtpd_client_connection_count_limit=200
smtp_data_done_timeout=3600
(SMTP client送出”.”表示信息内容结束之后,最多可以等待SMTP server在多长时间内响应)
smtp_data_init_timeout=3600
smtp_data_xfer_timeout=3600
(SMTP client在传送信息的过程中,可以容忍的等待时间)
hopcount_limit = 50
(信头中Received的最大数,阻止邮件的一直循环)
bounce_template_file = /etc/postfix/bounce.cf
data_directory = /var/lib/postfix
always_add_missing_headers = yes
(Postfix总是自动为没有message-id的邮件添加message-id:)
沒有留言:
張貼留言