所謂UCE(unsolicited commercial email)控制就是指控制postfix接收或轉(zhuǎn)發(fā)來自于什么地方的郵件。

　　缺省地，postfix轉(zhuǎn)發(fā)符合以下條件的郵件：

　　* 來自客戶端ip地址符合$mynetworks的郵件。

　　* 來自客戶端主機(jī)名符合$relay_domains及其子域的郵件。

　　* 目的地為$relay_domains及其子域的郵件。

　　缺省地，postfix接受符合以下條件的郵件：

　　* 目的地為$inet_interfaces的郵件。

　　* 目的地為$mydestination的郵件。

　　* 目的地為$virtual_maps的郵件。

　　但是我們也可以通過下面的規(guī)則來實(shí)現(xiàn)更強(qiáng)大的控制功能。

　　1. 信頭過濾

　　通過header_checks參數(shù)限制接收郵件的信頭的格式，如果符合指定的格式，則拒絕接收該郵件?？梢灾付ㄒ粋€(gè)或多個(gè)查詢列表，如果新郵件的信頭符合列表中的某一項(xiàng)則拒絕該接收郵件。如：

　　header_checks = regexp:/etc/postfix/header_checks

　　header_checks = pcre:/etc/postfix/header_checks

　　缺省地，postfix不進(jìn)行信頭過濾。

　　2.客戶端主機(jī)名/地址限制

　　通過smtpd_client_restrictions參數(shù)限制可以向postfix發(fā)起SMTP 連接的客戶端的主機(jī)名或ip地址?？梢灾付ㄒ粋€(gè)或多個(gè)參數(shù)值，中間用逗號隔開。限制規(guī)則是按照查詢的順序進(jìn)行的，***條符合條件的規(guī)則被執(zhí)行。可用的規(guī)則有：

　　reject_unknown_client：如果客戶端的ip地址在DNS中沒有PTR記錄則拒絕轉(zhuǎn)發(fā)該客戶端的連接請求?？梢杂胾nknown_client_reject_code參數(shù)指定返回給客戶機(jī)的錯(cuò)誤代碼(缺省為450)。如果你有用戶沒有作DNS記錄則不要啟用該選項(xiàng)。

　　permit_mynetworks：如果客戶端的ip地址符合$mynetworks參數(shù)定義的范圍則接受該客戶端的連接請求，并轉(zhuǎn)發(fā)該郵件。

　　check_client_access maptype:mapname：根據(jù)客戶端的主機(jī)名、父域名、ip地址或?qū)儆诘木W(wǎng)絡(luò)搜索access數(shù)據(jù)庫。如果搜索的結(jié)果為REJECT 或者 '[45]XX text' 則拒絕該客戶端的連接請求;如果搜索的結(jié)果為OK、RELAY 或數(shù)字則接受該客戶端的連接請求，并轉(zhuǎn)發(fā)該郵件。?？梢杂胊ccess_map_reject_code參數(shù)指定返回給客戶機(jī)的錯(cuò)誤代碼(缺省為554)。

　　reject_maps_rbl：如果客戶端的網(wǎng)絡(luò)地址符合$maps_rbl_domains參數(shù)的值則拒絕該客戶端的連接請求?？梢杂胢aps_rbl_reject_code參數(shù)指定返回給客戶機(jī)的錯(cuò)誤代碼(缺省為554)。

　　示例：

　　smtpd_client_restrictions = hash:/etc/postfix/access, reject_maps_rbl

　　smtpd_client_restrictions = permit_mynetworks, reject_unknown_client

　　該參數(shù)的缺省值為：

　　smtpd_client_restrictions =

　　也即接收來自任何客戶端的SMTP連接。

　　3. 是否請求HELO命令

　　可以通過smtpd_helo_required參數(shù)指定客戶端在SMTP會話的開始是否發(fā)送一個(gè)HELO命令。你可以指定該參數(shù)的值為yes或no。缺省值為：

　　smtpd_helo_required = no

　　4. HELO主機(jī)名限制

　　可以通過smtpd_helo_restrictions參數(shù)指定客戶端在執(zhí)行HELO命令時(shí)發(fā)送給postfix的主機(jī)名。缺省地，postfix接收客戶端發(fā)送的任意形式的主機(jī)名?？梢灾付ㄒ粋€(gè)或多個(gè)參數(shù)值，中間用逗號隔開。限制規(guī)則是按照查詢的順序進(jìn)行的，***條符合條件的規(guī)則被執(zhí)行?？捎玫囊?guī)則有：

　　reject_invalid_hostname：如果HELO命令所帶的主機(jī)名參數(shù)不符合語法規(guī)范則拒絕客戶機(jī)的連接請求?？梢杂胕nvalid_hostname_reject_code參數(shù)指定返回給客戶機(jī)的錯(cuò)誤代碼(缺省為501)。

　　permit_naked_ip_address：RFC要求客戶端的HELO命令包含的ip地址放在方括號內(nèi)，你可以用permit_naked_ip_address參數(shù)取消該限制。因?yàn)橛械膍ail客戶端不遵守該RFC的規(guī)定。

　　reject_unknown_hostname：如果客戶端執(zhí)行HELO命令時(shí)的主機(jī)名在DNS中沒有相應(yīng)的A 或 MX 記錄則拒絕該客戶端的連接請求。可以用invalid_hostname_reject_code參數(shù)指定返回給客戶機(jī)的錯(cuò)誤代碼(缺省為450)。

　　reject_non_fqdn_hostname：如果客戶端執(zhí)行HELO命令時(shí)的主機(jī)名不是RFC規(guī)定的完整的域名則拒絕客戶端的連接請求?？梢杂胕nvalid_hostname_reject_code參數(shù)指定返回給客戶機(jī)的錯(cuò)誤代碼(缺省為504)。

　　check_helo_access maptype:mapname：根據(jù)客戶端HELO的主機(jī)名、父域名搜索access數(shù)據(jù)庫。如果搜索的結(jié)果為REJECT 或者 '[45]XX text' 則拒絕該客戶端的連接請求;如果搜索的結(jié)果為OK、RELAY 或數(shù)字則接受該客戶端的連接請求?？梢杂胊ccess_map_reject_code參數(shù)指定返回給客戶機(jī)的錯(cuò)誤代碼(缺省為554)。

　　示例：

　　smtpd_helo_restrictions = permit_mynetworks, reject_invalid_hostname

　　5. RFC 821信頭限制

　　RFC 821對郵件的信頭做了嚴(yán)格的規(guī)定，但是廣泛使用的sendmail并不支

　　持該規(guī)定，所以對于該參數(shù)我們只能說不，即：

　　strict_rfc821_envelopes = no

　　6. 通過發(fā)件人地址進(jìn)行限制

　　可以用smtpd_sender_restrictions參數(shù)通過發(fā)件人在執(zhí)行MAIL FROM命令時(shí)提供的地址進(jìn)行限制?？梢灾付ㄒ粋€(gè)或多個(gè)參數(shù)值，中間用逗號隔開。限制規(guī)則是按照查詢的順序進(jìn)行的，***條符合條件的規(guī)則被執(zhí)行?？捎玫囊?guī)則有：

　　reject_unknown_sender_domain：如果MAIL FROM命令提供的主機(jī)名在DNS中沒有相應(yīng)的A 或 MX 記錄則拒絕該客戶端的連接請求?？梢杂胾nknown_address_reject_code參數(shù)指定返回給客戶機(jī)的錯(cuò)誤代碼(缺省為450)。

　　check_sender_access maptype:mapname：根據(jù)MAIL FROM命令提供的主機(jī)名、父域搜索access數(shù)據(jù)庫。如果搜索的結(jié)果為REJECT 或者 '[45]XX text' 則拒絕該客戶端的連接請求;如果搜索的結(jié)果為OK、RELAY 或數(shù)字則接受該客戶端的連接請求?？梢杂胊ccess_map_reject_code參數(shù)指定返回給客戶機(jī)的錯(cuò)誤代碼(缺省為554)?？梢酝ㄟ^該參數(shù)過濾來自某些不受歡迎的發(fā)件人的郵件。

　　reject_non_fqdn_sender：如果MAIL FROM命令提供的主機(jī)名不是RFC規(guī)定的完整的域名則拒絕客戶端的連接請求。可以用non_fqdn_reject_code 參數(shù)指定返回給客戶機(jī)的錯(cuò)誤代碼(缺省為504)。

　　缺省地，postfix接受來自任何發(fā)件人的郵件。

　　示例：

　　smtpd_sender_restrictions = hash:/etc/postfix/access, reject_unknown_sender_domain

　　7. 通過收件人地址進(jìn)行過濾

　　可以用smtpd_recipient_restrictions參數(shù)通過發(fā)件人在執(zhí)行RCPT TO命令時(shí)提供的地址進(jìn)行限制。缺省值為：

　　smtpd_recipient_restrictions = permit_mynetworks, check_relay_domains

　　可以指定一個(gè)或多個(gè)參數(shù)值，中間用逗號隔開。限制規(guī)則是按照查詢的順序進(jìn)行的，***條符合條件的規(guī)則被執(zhí)行?？捎玫囊?guī)則有：

　　check_relay_domains：如果符合以下的條件，則接受SMTP連接請求，否則拒絕該連接，可以用relay_domains_reject_code 參數(shù)指定返回給客戶機(jī)的錯(cuò)誤代碼(缺省為504)。

　　* 客戶端主機(jī)名符合$relay_domains及其子域

　　* 目的地為$inet_interfaces、$mydestination或$virtual_maps

　　permit_auth_destination：不管客戶端的主機(jī)名，只要符合以下的條件，就

　　接受SMTP連接請求：

　　* 解析后的目標(biāo)地址符合$relay_domains及其子域

　　* 解析后的目標(biāo)地址符合$inet_interfaces、$mydestination或$virtual_maps

　　reject_unauth_destination：不管客戶端的主機(jī)名，只要符合以下的條件，就拒絕該客戶端SMTP連接請求：

　　* 解析后的目標(biāo)地址符合$relay_domains及其子域

　　* 解析后的目標(biāo)地址符合$inet_interfaces、$mydestination或$virtual_maps

　　check_recipient_access：根據(jù)解析后的目標(biāo)地址、父域搜索access數(shù)據(jù)庫。如果搜索的結(jié)果為REJECT 或者 '[45]XX text' 則拒絕該客戶端的連接請求;如果搜索的結(jié)果為OK、RELAY 或數(shù)字則接受該客戶端的連接請求?？梢杂胊ccess_map_reject_code參數(shù)指定返回給客戶機(jī)的錯(cuò)誤代碼(缺省為554)。

　　reject_unknown_recipient_domain：如果收件人的郵件地址在DNS中沒有相應(yīng)的A 或 MX 記錄則拒絕該客戶端的連接請求?？梢杂胾nknown_address_reject_code參數(shù)指定返回給客戶機(jī)的錯(cuò)誤代碼(缺省為450)。

　　reject_non_fqdn_recipient：如果發(fā)件人在執(zhí)行RCPT TO命令時(shí)提供的地址

　　不是完整的域名則拒絕其SMTP連接請求?？梢杂肨he non_fqdn_reject_code參數(shù)指定返回給客戶機(jī)的錯(cuò)誤代碼(缺省為504)。

　　之所以對postfix的性能進(jìn)行控制，是為了在遇到郵件風(fēng)暴時(shí)保證postfix可以正常運(yùn)行。通常，我們可以通過對下列postfix參數(shù)的配置來調(diào)節(jié)postfix的性能，這些參數(shù)都是通過mail.cf配置文件進(jìn)行配置的，修改以后不要忘了運(yùn)行postfix reload命令來使配置生效。

　　1. 進(jìn)程數(shù)限制

　　可以通過default_process_limit 參數(shù)來控制postfix系統(tǒng)同時(shí)可以運(yùn)行的***進(jìn)程數(shù)目。缺省值是50個(gè)。

　　2. 對同一目標(biāo)主機(jī)的并發(fā)連接限制

　　當(dāng)向同一目標(biāo)主機(jī)發(fā)出SMTP連接時(shí)，postfix初始化發(fā)出兩個(gè)SMTP連接，如果投遞成功則增加并發(fā)的SMTP連接數(shù)目，遇到擁塞時(shí)又減少并發(fā)連接的數(shù)目。postfix中通過以下的參數(shù)對同一目標(biāo)主機(jī)的并發(fā)連接進(jìn)行控制：

　　* initial_destination_concurrency：控制對同一目標(biāo)主機(jī)的初始化并發(fā)連接數(shù)目。缺省值為2。

　　* default_destination_concurrency_limit：控制初始化連接后對同一目標(biāo)主機(jī)的***并發(fā)連接數(shù)目。缺省值為10。

　　* local_destination_concurrency_limit：控制對同一本地收件人的***同時(shí)投遞的郵件數(shù)目。缺省值為2，因?yàn)閷Ρ镜赝皇占送哆f郵件時(shí)投遞工作只能一個(gè)接一個(gè)的進(jìn)行，所以設(shè)得在大也沒用。

　　3. 對同一封郵件的收件人數(shù)目限制

　　通過default_destination_recipient_limit參數(shù)來控制postfix的投遞代理(如

　　smtp進(jìn)程)可以將同一封郵件發(fā)送給多少個(gè)收件人。缺省值為50。也可以用明確指出該投遞代理的參數(shù)來覆蓋該缺省值。如用smtpd_recipient_limit來指定smtp投遞代理可以將同一封郵件發(fā)送給多少個(gè)收件人，該參數(shù)的缺省值為1000。

　　4. 推遲投遞控制

　　通過defer_transports參數(shù)，我們可以推遲投遞該參數(shù)指定的郵件直到postfix明確的提出投遞要求。下面我們看一個(gè)例子：

　　有一個(gè)小型的局域網(wǎng)，用戶都將郵件發(fā)送給局域網(wǎng)內(nèi)部的一臺postfix郵件服務(wù)器，然后通過在該服務(wù)器上撥號將郵件發(fā)送出去。這時(shí)我們可以這樣指定該參數(shù)的值：

　　defer_transports = smtp

　　該語句表示postfix推遲投遞所有的郵件直到執(zhí)行sendmail -q命令，這樣我們就可以在ppp的腳本中加上sendmail -q，以便在撥號成功后讓postfix開始投遞郵件。

【編輯推薦】

1. Postfix對郵件的處理流程
2. Linux下的郵件服務(wù)器 postfix
3. 如何安裝Postfix
4. Postfix郵件安裝實(shí)現(xiàn)介紹
5. Postfix入門篇
6. postfix 安裝配置
7. Postfix的配置