如何配置Debian邮件服务器的反垃圾邮件功能

Debian邮件服务器反垃圾邮件配置指南

一 架构与总体思路

• 以 Postfix 作为 MTA，在 smtpd_recipient_restrictions 中分层启用策略：先进行连接与发件人校验，再调用策略服务与内容过滤，最后做默认拒绝，兼顾安全与可用性。
• 采用“多层防御”：灰名单（Postgrey）降低垃圾邮件命中率，内容评分（SpamAssassin）识别可疑邮件，必要时与 Amavisd-new + ClamAV 联动实现反病毒与更细粒度处置。

二 基础防护与灰名单 Postgrey

• 安装与启动
  • 安装：sudo apt-get update && sudo apt-get install postgrey
  • 启动：sudo systemctl start postgrey
• 配置灰名单延迟
  • 编辑 /etc/default/postgrey，设置延迟为 60 秒（首次连接临时拒收，重试则放行）：
    • POSTGREY_OPTS="-inet=127.0.0.1:10023 -delay=60"
• 与 Postfix 集成
  • 编辑 /etc/postfix/main.cf，在 smtpd_recipient_restrictions 中加入策略服务检查（建议置于合理位置，通常在 reject_unauth_destination 之前）：
    • check_policy_service inet:127.0.0.1:10023
  • 使配置生效：sudo postfix reload
• 说明
  • 灰名单对突发群发与僵尸网络有明显抑制效果，但对合法发件人存在首次延迟，业务需可接受该策略。

三 内容评分与垃圾邮件识别 SpamAssassin

• 安装与启用
  • 安装：sudo apt-get install spamassassin
  • 启用服务（以系统服务方式常驻评分守护进程）：sudo systemctl enable --now spamassassin
• 基本配置
  • 编辑 /etc/spamassassin/local.cf，可自定义阈值（示例为 5.0，分数高于此值视为垃圾）：
    • required_score 5.0
• 与 Postfix 集成（After-Queue 内容过滤）
  • 编辑 /etc/postfix/main.cf，指定内容过滤器：
    • content_filter = spamassassin
  • 使配置生效：sudo postfix reload
• 说明
  • 该方式通过 Postfix 的 content_filter 将邮件送入 SpamAssassin 评分后再投递，适合大多数中小规模部署。

四 反病毒与一体化过滤 Amavisd-new ClamAV（可选）

• 适用场景
  • 需要同时做反病毒与反垃圾的统一策略、对邮件进行更细粒度处置（如标记、隔离、拒收）时，建议部署 Amavisd-new + ClamAV，并与 Postfix 联动。
• 快速集成要点
  • 安装组件：sudo apt-get install amavisd-new spamassassin clamav clamav-daemon clamav-freshclam
  • Postfix 主配置 /etc/postfix/main.cf 指定内容过滤：
    • content_filter = smtp-amavis:[127.0.0.1]:10024
  • Postfix 主进程配置 /etc/postfix/master.cf 增加 Amavis 监听与回传：
    • 在 master.cf 添加：

      smtp-amavis unix - - n - 2 smtp
        -o smtp_data_done_timeout=1200
        -o disable_dns_lookups=yes
      
      127.0.0.1:10025 inet n - n - - smtpd
        -o content_filter=
        -o local_recipient_maps=
        -o relay_recipient_maps=
        -o smtpd_restriction_classes=
        -o smtpd_client_restrictions=
        -o smtpd_helo_restrictions=
        -o smtpd_sender_restrictions=
        -o smtpd_recipient_restrictions=permit_mynetworks,reject
        -o mynetworks=127.0.0.0/8
        -o strict_rfc821_envelopes=yes
      

  • 按需调整 /etc/amavis/amavisd.conf 的处置策略（如病毒、垃圾、被禁止内容的 final_*_destiny），并启动相关服务。

五 进阶与运维建议

• 策略顺序与权限控制
  • 在 smtpd_recipient_restrictions 中优先放置低成本高命中规则，如：permit_sasl_authenticated、permit_mynetworks、reject_unauth_destination，再接入 check_policy_service inet:127.0.0.1:10023 与 content_filter，最后做默认拒绝，避免策略绕过。
• 黑白名单与访问控制
  • 结合 Postfix 的 smtpd_sender_restrictions / smtpd_client_restrictions 配置 黑名单/白名单（IP、域名、发件人），对已知合法伙伴或顽固垃圾源进行精确放行或阻断。
• 附件与内容限制
  • 通过 Postfix 配置限制可执行与压缩类附件（如 .exe、.bat、.js、.zip 等）或限制附件大小，降低恶意内容与膨胀型垃圾的风险。
• 监控与调优
  • 持续观察 /var/log/mail.log 与 SpamAssassin 日志，依据误判/漏判情况调整 required_score 与灰名单延迟；对业务关键伙伴可将其加入白名单或短期停用灰名单。