İki sayfa olarak yazılmış bu yazılarımızın esas amacı Php socket açma yöntemi ile ele geçirilmiş makinelerden yapılan mail-spam saldırılarını durdurmak ve mail serverlerimizin black liste gitmesine engel olmaktır. Bu yapıyı gerçekleştirir kullandığımız araçlar tamamı ile Open Source ve hala geliştirilmeye devam edilen projelerdir.

Kullandığımız yapılardan ve işlevlerinden biraz bahsetmek gerekirse farklı makinelerimizin tek bir yapı altında kontrol edilmesi ve loglanması için relay server mantığını kullandık. Bu yapıda kullandığmız esas programlar MTA olarak kullanılan Postfix, maillerin içeriğini otomatik olarak kontrol eden Spamassasin ve işin büyük kısmını yapan Policyd Cluebringer.

Bir Postfix eklentisi olan Policyd lightweight yapısı ile mail geldiğinde mailin içeriğine bakmadan sadece headerlerini kontrol edip mail atan kişinin bizim müşterimiz olup olmadığını kontrol edip eğer sistemde izinli ise mail atmasına izin vermesidir. Tahmin edebilirsiniz ki bu yapı ile sistemde tanımlı olmayan maillerin engellenmesi ile %60 daha fazla bir oranla outbound maillerde engelleme uygulayabiliyoruz ve kayıtlı kullanıcıların maillerinin sıkıntısız bir şekilde iletiyoruz.

!! Not kurulumda Ubuntu 15.04 versiyonu kullanılmıştır.

• 1 Postfix, Spamassasin, Policyd Kurulumu ve Konfigürasyonu
  • 1.1 Exim Cpanel Serverinin Yönlendirilmesi
    • 1.1.1 Yönlendirmenin test edilmesi
  • 1.2 Postfix Kurulumu
    • 1.2.1 Postfix kurulumu için gerekli ekipmanlar
  • 1.3 Spamassassin kurulumu
    • 1.3.1 Spamassassini aktifleştirme ayarlarının yapılması
    • 1.3.2 Spamassassinin Postfix ile ilişkilendirilmesi
    • 1.3.3 Spamassassin yapılandırılmasının özelleştirilmesi
  • 1.4 Policyd Kurulumu
    • 1.4.1 Kurulum biraz sıkıntılı sebepleri
    • 1.4.2 Kurulum
    • 1.4.3 Kurulum için gerekli perl modüllerinin yüklenmesi
    • 1.4.4 Mysql veritabanına özel veritabanının hazırlanması
    • 1.4.5 Veritabanının aktifleştirilmesi
    • 1.4.6 Cluebringerin database özelliklerine göre konfigürasyonu
    • 1.4.7 Cluebringerin postfix ile ilişkilendirilmesi
    • 1.4.8 Cluebringer-webui konfigürasyonu
  • 1.5 Son notlar
  • 1.6 Kaynakça
    • 1.6.1 Postfix kurulum sayfaları
    • 1.6.2 Spamassassin kurulum sayfaları
    • 1.6.3 Policyd kurulum sayfaları

1 Postfix, Spamassasin, Policyd Kurulumu ve Konfigürasyonu

1.1 Exim Cpanel Serverinin Yönlendirilmesi

nano /etc/exim.conf

Komutu ile var ise smart route satırını editliyoruz yoksa kendimiz ekliyoruz

smart_route:
driver = manualroute
domains = !+local_domains
transport = remote_smtp

Burada Exim MTA sisteminde gelen bütün portun hepsinin diğer makineye aktarılması sağlanır

route_data = <RELAY SERVER IP>

1.1.1 Yönlendirmenin test edilmesi

echo “This is the body of the email” | mail -s “This is the subject line” user@example.com

• Komutu ile herhangi bir yere mail atmalısınız ve tcpdump komutu ile relay server makinesinden dinlemelisiniz eğer sayfada çıktı oluşuyorsa yönlendirmeyi doğru yapmışsınız denilebilir

tcpdump host <CPanel IP>

• Eğer burada serverimizden gelen paketleri alabiliyorsak bundan sonra esas işlemlerin ve düzenlemelerin yapılacağı Relay serverimize geçebiliriz

1.2 Postfix Kurulumu

1.2.1 Postfix kurulumu için gerekli ekipmanlar

• Programın kurulması için root yetkisi

Postfixi test etmek için Postfix üzerinden çalışan mail mailx gibi komutları içeren mailutils paketi

• apt-get install mailutils
  • NOT Burada Postfix ile alakalı ekranda bir ayarlama gelir ise Smart Host seçeneği ile ilerleyeceğiz gerekli işlemleri biz kendimiz manuel olarak etc dizininde main.cf ve master.cf dosyaları üzerinde yapacağız.
    • main.cf hakkında daha fazla bilgi[^fn-1]
    • master.cf hakkında daha fazla bilgi[^fn-2]

Postfix ekipmanlarının indirilmesi

1. apt-get install postfix

Postfix elemanlarının yapılandırılması

• main.cf nin editlenmesi
• Postfix serverin yeni ayarlarının uygulanması

Sistemin çalışırlığının test edilmesi

1. echo “This is the body of the email” | mail -s “This is the subject line” user@example.com
   • Eğer burada user@example.com sitesine mail gidiyorsa ve ayrıntılarda Postfix görüyorsanız sistem gayet güzel çalışıyor diyebiliriz.

1.3 Spamassassin kurulumu

Bu kısımda Postfixte bir eklenti olarak çalışan Spam assaasian yazılımını yükleyeceğiz

• apt-get install spamassassin spamc

Spamassassinin çalışmasının daha düzenli olması için kullanıcı grubu ve kullanıcı ekleyeceğiz

• # Grubun eklenmesi
  groupadd spamd

  Kullanıcının eklenmesi ve home dizini ayarları

  useradd -g spamd -s /bin/false -d /var/log/spamassassin spamd

Logların tutulacağı yer ve yetkilendirmenin yapılması

• mkdir /var/log/spamassassin
  chown spamd:spamd /var/log/spamassassin

1.3.1 Spamassassini aktifleştirme ayarlarının yapılması

Burada Spamassassinin gerekli ayarlarını yapacağız

• nano /etc/default/spamassassin

Spamassasinnin aktif edilmesi

• ENABLED=0

satırının bulunup aşağıdaki satır ile değiştiriniz

• ENABLED=1

Güncellenme ve yeni spam listelerini getirmesi için

• CRON=0

satırını bulup aşağıdaki satır ile değiştiriniz

• CRON=1

SAHOME adında bir değişken oluşturup aşağıdaki gibi set ediniz

• SAHOME=“/var/log/spamassassin/”

OPTIONS değişkenini bulup aşağıdaki değeri atayınız

• OPTIONS=“–create-prefs –max-children 5 –username spamd -H ${SAHOME} -s ${SAHOME}spamd.log”

Herşeyin aktifleşmesi için spamassassini yeniden başlatın

• service spamassassin start

1.3.2 Spamassassinin Postfix ile ilişkilendirilmesi

• Bu bölümde yapılandırılmış Spamassassin konfigürasyonumuzu Postfix ile ilişkilendireceğiz

Bu sebeple Postfixin ana konfigürasyon dosyasını editlememiz gerekiyor

• nano /etc/postfix/master.cf

Aşağıdaki satırı bulup bir altındaki ile değiştiriniz

• #smtp      inet  n       -       -       -       -       smtpdsmtp      inet  n       -       -       -       -       smtpd -o content_filter=spamassassin

Sütunlar bittikten sonraki ilk boşluğa bu satırları ekleyiniz

• spamassassin unix - n n - - pipe user=spamd argv=/usr/bin/spamc -f -e /usr/sbin/sendmail -oi -f ${sender} ${recipient}

Değişiklikleri uygulamak için Postfix’i restart ediniz

• service postfix restart

1.3.3 Spamassassin yapılandırılmasının özelleştirilmesi

• Bu kısımda basit bir şekilde spam maillerin ne gibi bir işlem göreceği hakkında kurallar yazacağız
• Yazdığımız kurallar sadece maillerin spam olarak işaretlenmesi ve bunun derecelendirmesini yapacak

Öncelikle bu özelleştirmelerin yapılacağı konfigürasyon dosyasını açıyoruz

• nano /etc/spamassassin/local.cf

Aşağıdaki satırları kontrol ederek ekli ise düzenliyoruz ekli değil ise biz kendimiz ekliyoruz

• #Eğer sistem maili spam olarak algılamışsa mail title kısmına SPAM SCORE unu ekle
  rewrite_header Subject [***** SPAM SCORE *****]
  #Spamasasinin değerlerine göre spam olup olmadığına karar verir Bunu duruma göre değiştiebiliriz
  required_score           5.0
  #auto update ayarları
  use_bayes               1
  bayes_auto_learn        1

Servisi yeniden başlatıyoruz

• service spamassassin restart
  • Servis yeniden başlatıldığında buradan düzgün çalışıp çalışmadığını aşağıdaki komut ile kontrol edebilirsiniz
  • 2. olarakta C Panelden mail atarak ve mailin detaylarını Spamassassini ve diğer değerleri alıcının mail kutusundaki ayrıntılar kısmından bakabilirsiniz.
•  

1.4 Policyd Kurulumu

1.4.1 Kurulum biraz sıkıntılı sebepleri

• Perl paketlerinin yüklenmesi ve bazı perl fonksiyonlarına özel ayar yapılması gereği
• Linklerdeki kurulumların eski olması ve çalışmıyor olması
• mysql versiyonuna göre veri tabanının hazırlanması

1.4.2 Kurulum

Kurulumu apt-get reposu ile yapacağız bu aşağıdaki komut bize web arayüzü ile birlikte gerekli çoğu programıda beraberinde yükleyecektir.

• apt-get install postfix-cluebringer
  • Bu kod ile birlikte sistemimize bize gerekli olan
    • php5
    • bazı gerekli perl modülleri
      • CIDR

1.4.3 Kurulum için gerekli perl modüllerinin yüklenmesi

http://wiki.policyd.org/requirements

MySQL, PostgreSQL or SQLite

• apt-get install mysql-server mysql-client

Net::Server >= 0.96

• /usr/bin/perl -MCPAN -e ‘install Net::Server’

Net::CIDR

• /usr/bin/perl -MCPAN -e ‘install Net::CIDR’

Config::IniFiles (debian: libconfig-inifiles-perl, rpm: perl-Config-IniFiles)

• apt-get install libconfig-inifiles-perl

Cache::FastmMap (debian: libcache-fastmmap-perl, rpm: perl-Cache-FastMmap)

• apt-get install libcache-fastmmap-perl

Mail::SPF (required for CheckSPF module)

• /usr/bin/perl -MCPAN -e ‘install Mail::SPF ‘
• NOT bazı yüklemeler apt-get install postfix-cluebringer sırasında yüklenmiş olabilir
• Not2 ilk defa perl reposundan modül indiriyorsanız gerekli repo ayarlarının yapılması için gelen sorulara [yes] demeniz gerekmektedir

1.4.4 Mysql veritabanına özel veritabanının hazırlanması

• Cluebringer birkaç veritabanı ile tümleşik çalışabilmektedir. Ben burada yaygın kullanımı açısından mysql veritabanını seçtim. Bu veri tabanı kullanılırken cluebringer her veritabanı sistemimize özel sql yapısı istiyor. Bu yüzden biz bu veritabanını kendimiz oluşturmamız gerekiyor.

Hangi veritabanını kullanacağımıza karar verdikten sonra bir de bu veritabanımızın versiyonunu öğrenmemiz gerekiyor

• mysql –version

  mysql  Ver 14.14 Distrib 5.5.44, for debian-linux-gnu (x86_64) using readline 6.3

• Mysql versiyonumuz burada 5.5.44 olduğu anlaşılıyor
• Şimdi veritabanımızın şemasını hazırlayacağımız sistemi indirmemiz gerekiyor

Policyd ekipmanlarının indirilmesi

• cd
  mkdir policyd-cluebringer
  cd policyd-cluebringer
  wget http://download.policyd.org/v2.0.14/cluebringer-v2.0.14.tar.xz
  unxz -c clue* | tar xv
  cd clue*
  cd database
  for i in  core.tsql access_control.tsql quotas.tsql amavis.tsql checkhelo.tsql checkspf.tsql greylisting.tsql
  do
  ./convert-tsql mysql55 $i
  done > policyd.mysql

1.4.5 Veritabanının aktifleştirilmesi

Şimdiye kadar kendimizin kullanacağı veri tabanımızı hazırladık fakat henüz kullanılabilir şekilde değil bu veri tabanının bağlantısını mysql ile ilişkilendireceğiz.

• mysql -p
  Enter password:
  #eğer daha önceden oluşturulmuş bir veritabanı varsa sil yoksa oluştur
  #mysql> drop database cluebringer;
  mysql> create database cluebringer;
  mysql> use cluebringer;
  mysql> CREATE USER ‘cluebringer’@‘localhost’ IDENTIFIED BY ‘mypassword’;
  mysql> GRANT ALL PRIVILEGES ON cluebringer.* TO ‘cluebringer’@‘localhost’;
  exit

Bu query dosyasını mysqlde çalıştıracağız

• mysql -u root -p cluebringer < policyd.mysql

1.4.6 Cluebringerin database özelliklerine göre konfigürasyonu

cluebringer dosyasını editleyin

• nano /etc/cluebringer/cluebringer.conf

Aşağıdaki değişkenleri bulup değerlerini değiştiriniz

• DSN=DBI:mysql:dbname=cluebringer;host=localhost
  DB_Type=mysql
  DB_Host=localhost
  DB_Port=3306
  DB_Name=cluebringer
  Username=cluebringer
  Password=mypassword

Servisi başlatınız ve kontrol ediniz

• service postfix-cluebringer start
  service postfix-cluebringer status

1.4.7 Cluebringerin postfix ile ilişkilendirilmesi

Postfixin Policyd izinleri

• nano /etc/postfix/main.cf
  • Aşağıdaki satırları en alta yapıştırınız
  • Policyd ile birlikte çalışan perl kütüphanesine izin vermek için

1.4.8 Cluebringer-webui konfigürasyonu

Bu kısımda policyd nin web arayüzü olan kısmının ayarlarını yapacağız

• nano /etc/cluebringer/cluebringer-webui.conf

Aşağıdaki satırları dosyaya ekleyin veya editleyin

• $DB_DSN=“mysql:host=localhost;dbname=cluebringer”;
  $DB_USER=“cluebringer”;
  $DB_PASS=“mypassword”;

Şimdi usr/share altında olan web sayfalarınını link olarak apache2 programına tanıtalım

• cd /var/www/html
  ln -s /usr/share/postfix-cluebringer-webui/webui/

Php5 mysql driverinin yüklenmesi</p>

• Artık bütün işlemleri tamamlamış bulunmaktayız ve bir tek php ile mysql arasındaki bağlantıyı kuracak driveri yüklememiz gerekiyor
• Artık serverimize &lt;Relay Server IP/webui> sayfasından ulaşabilirsiniz

1.5 Son notlar

• Artık serverimiz pratikte iş yapar hale gelmiştir bundan sonra yapılacak ayarların hepsi sizin serverlerinizin durumuna ve Policyd programında nasıl yetki vereceğinize bağlı olarak değişicektir.
  • !! Bu kısıma kadar ne yapmadık !!
    1. Serverimiz her hangi bir koruması bulunmamakta yani sizin serverinizin IPsini yazan her hangi bir kişi /webui arayüzünden istediği gibi kural atayabilir.
    2. Spamassasin sadece spamları işaretlemek için ayarlardığımızdan spam mailleriniz dışarı, mail kısmında bulunan title kısmını değişicektir ve herhangi bir silme işlemi uygulamayacaktır.
    3. Her mail serverin üstünden geçen mailleri imzalamak gibi bir özelliği vardır, bizim Eximden çıkan maillerimizin IPsi , Makine ismi versiyonu gibi özellikleri gizleme işlemi yapılmadı.
    4. Aynı şekilde Spamasasinin de header imzalama özelliğinden dolayı oluşan headerlerin silinmesi yapılmadı
    5. Policyd üzerinde özelleştirme yapmadık.

Bunların ayarları için diğer yazımızı inceleyebilirsiniz.

https://www.netinternet.com.tr/bilgi-bankasi/spam-engelleme-icin-spamassasin-ve-policyd-ozellestirmeleri

1.6 Kaynakça

1.6.1 Postfix kurulum sayfaları

• https://www.digitalocean.com/community/tutorials/how-to-install-and-configure-postfix-as-a-send-only-smtp-server-on-ubuntu-14-04

1.6.2 Spamassassin kurulum sayfaları

• https://www.digitalocean.com/community/tutorials/how-to-install-and-setup-spamassassin-on-ubuntu-12-04

1.6.3 Policyd kurulum sayfaları

• http://uname.pingveno.net/blog/index.php/post/2015/03/11/Configure-sender-rate-limits-to-prevent-spam,-using-cluebringer-(policyd)-with-Postfix
• http://wiki.policyd.org/requirements
• http://wiki.policyd.org/installing
• http://www.kutukupret.com/2009/09/13/postfix-centos-policyd-v2-mysql/
• http://ngocquyetlinux.blogspot.com.tr/2013/05/limit-mail-with-policyd.html
• https://help.ubuntu.com/community/Postfix/SPF
• http://imanudin.net/2014/09/08/how-to-install-policyd-on-zimbra-8-5/
• https://wiki.zimbra.com/wiki/Postfix_Policyd

Footnotes

[^fn-1] http://www.postfix.org/postconf.5.html

[^fn-2] http://www.postfix.org/master.8.html