postfix邮件服务器的关键安全策略

邮件系统是Linux网络应用的重要组成，一个完整的邮件系统包括三个部分：底层操做系统（Linux Operation），邮件传送代理（Mail Transport Agent，MTA）,邮件分

发代理（Mail Delivery Agent，MDA），邮件用户代理（Mail User Agent，MUA）。

Postfix是一个很是优秀的MTA，她素以高效、安全的特色而著称。Postfix是做者在UNIX上所见过的MTA中在反垃圾邮件（Anti-Spam或Anti-UCE）方面作得最好的一个，甚至有不少公司在Postfix代码的基础上进行二次开发而推出反垃圾邮件网关产品。MTA的反垃圾邮件功能，实际上就是在MTA处理过程当中对会话进行过滤。这个过滤不但过滤了发往自身的垃圾邮件，并且还防止了自身被恶意利用发送垃圾邮件。Postfix实现了目前全部主要的MTA过滤技术。postfix是Wietse Venema在IBM的GPL协议之下开发的MTA（邮件传输代理）软件。和Sendmail相比Postfix更快、更容易管理、更灵活、更安全，同时还与sendmail保持足够的兼容性。Sendmail相比Postfix对比见表1.

表1 Sendmail与Postfix的对比

MTA	成熟性	安全性	特点	性能	Sendmail兼容性	模块化设计
Postfix	中	中	中	中	支持	是
Sendmail	高	低	中	低		否

垃圾邮件(SPAM) 也称做UCE (Unsolicited Commercial Email，未经许可的商业电子邮件) 或UBE (Unsolicited Bulk Email,未经许可的大量电子邮件) 。中国互联网协会对垃圾邮件给出了一个正式的定义，只要是符合下述四条之一的电子邮件均可被称为垃圾邮件：

（1）收件人事先没有提出要求或赞成接收的广告、电子刊物、各类形式的宣传品等宣传性的电子邮件。

（2）收件人没法拒收的电子邮件。

（3）隐藏发件人身份、地址、标题等信息的电子邮件；。

（4）含有虚假的信息源、发件人、路由等信息的电子邮件。 
垃圾电子邮件成为了人们最头疼的问题之一。在Windows操做系统中也许您已经尝够了垃圾邮件给您带来的苦头，不要觉得在Linux操做系统平台中就能避免垃圾电子邮件给咱们带来的骚扰，反击和过滤垃圾电子

邮件是一件很重要的工做。下面是一些在Linux中普遍使用的防垃圾邮件技术。

（1）SMTP用户认证

目前常见并十分有效的方法是，在邮件传送代理（Mail Transport Agent，MTA）上对来自本地网络之外的互联网的发信用户进行SMTP认证，仅容许经过认证的用户进行远程转发。这样既可以有效避免邮件传送代理服务器为垃圾邮件发送者所利用，又为出差在外或在家工做的员工提供了便利。若是不采起SMTP认证，则在不牺牲安全的前提下，设立面向互联网的Web邮件网关也是可行的。此外，若是SMTP服务和POP3服务集成在同一服务器上，在用户试图发信以前对其进行POP3访问验证（POP before SMTP）就是一种更加安全的方法，但在应用的时候要考虑到当前支持这种认证方式的邮件客户端程序还很少。

（2）逆向名字解析

不管哪种认证，其目的都是避免邮件传送代理服务器被垃圾邮件发送者所利用，但对于发送到本地的垃圾邮件仍然迫不得已。要解决这个问题，最简单有效的方法是对发送者的IP地址进行逆向名字解析。经过DNS查询来判断发送者的IP与其声称的名字是否一致，例如，其声称的名字为mx.hotmail.com，而其链接地址为20.200.200.200，与其DNS记录不符，则予以拒收。这种方法能够有效过滤掉来自动态IP的垃圾邮件，对于某些使用动态域名的发送者，也能够根据实际状况进行屏蔽。可是上面这种方法对于借助Open Relay的垃圾邮件依然无效。对此，更进一步的技术是假设合法的用户只使用本域具备合法互联网名称的邮件传送代理服务器发送电子邮件。例如，若发件人的邮件地址为someone@yahoo.com，则其使用的邮件传送代理服务器的Internet名字应具备yahoo.com 的后缀。这种限制并不符合SMTP协议，但在多数状况下是切实有效的。须要指出的是，逆向名字解析须要进行大量的DNS查询。

（3）实时黑名单过滤

以上介绍的防范措施对使用自身合法域名的垃圾邮件仍然无效。对此比较有效的方法就是使用黑名单服务了。黑名单服务是基于用户投诉和采样积累而创建的、由域名或IP组成的数据库，最著名的是RBL、DCC和Razor等，这些数据库保存了频繁发送垃圾邮件的主机名字或IP地址，供MTA进行实时查询以决定是否拒收相应的邮件。可是，目前各类黑名单数据库难以保证其正确性和及时性。例如，北美的RBL和DCC包含了我国大量的主机名字和IP地址，其中有些是早期的Open Relay形成的，有些则是因为误报形成的。但这些迟迟得不到纠正，在必定程度上阻碍了我国与北美地区的邮件联系，也妨碍了我国的用户使用这些黑名单服务。其中使用BRL认证过程见图1.

图1 使用BRL过滤垃圾邮件的过程

（4）内容过滤

即便使用了前面诸多环节中的技术，仍然会有至关一部分垃圾邮件漏网。对此状况，目前最有效的方法是基于邮件标题或正文的内容过滤。其中比较简单的方法是，结合内容扫描引擎，根据垃圾邮件的经常使用标题语、垃圾邮件受益者的姓名、电话号码、Web地址等信息进行过滤。更加复杂但同时更具智能性的方法是，基于贝叶斯几率理论的统计方法所进行的内容过滤，该算法最先由Paul Graham提出（http://www.paulgraham.com/spam.html），并使用他本身设计的Arc语言实现。这种方法的理论基础是经过对大量垃圾邮件中常见关键词进行分析后得出其分布的统计模型，并由此推算目标邮件是垃圾邮件的可能性。这种方法具备必定的自适应、自学习能力，目前已经获得了普遍的应用。最有名的垃圾邮件内容过滤是Spamassassin，它使用Perl语言实现，集成了以上两种过滤方法，能够与当前各类主流的MTA集成使用。内容过滤是以上全部各类方法中耗费计算资源最多的，在邮件流量较大的场合，须要配合高性能服务器使用。 下面以RHEL 4.0为例，介绍上面几种技术应对安全隐患。
安装postfix

一、查询Sendmail是否安装：

＃rpm -qa |grep sendmail

二、强行卸载Sendmail

# rpm -e sen

dmail sendmail-cf sendmail-doc –nodeps

三、用如下命令杀死运行中的sendmail进程：

# kill all sendmail

四、下载安装Posfix

#wget ftp://ftp.midvalleyhosting.com/pub/postfix/official/postfix-2.1.4.t ar.gz /tmp

＃tar -vxf postfix-2.1.4.tar.gz

#cd postfix-2.1.4

5．编译源代码包

# make

6．创建一个新用户“postfix”，该用户必须具备惟一的用户ID号和组ID号，同时应该让该用户不能登陆到系统，也即不为该用户指定可执行的登陆外壳程序和可用的用户宿主目录。咱们能够先用adduser postfix 添加用户再编辑/etc/passwd文件中的相关条目以下所示：

# useradd postfix

＃ postfix:*:12345:12345:postfix:/no/where:/no/shell

#groupadd postdrop

7．肯定/etc/aliases文件中包含以下的条目：

# postfix: root

8． 以root用户登陆，在/tmp/ postfix目录下执行命令：

# ./INSTALL.sh

9.启动postfix

# postfix start

postfix的配置文件位于/etc/postfix下，这四个文件就是postfix最基本的配置文件，它们的区别在于：mail.cf：是postfix主要的配置文件。Install.cf：包含安装过程当中安装程序产生的postfix初始化设置。master.cf：是postfix的master进程的配置文件，该文件中的每一行都是用来配置postfix的组件进程的运行方式。postfix-script：包装了一些postfix命令，以便咱们在linux环境中安全地执行这些postfix命令。

十、使用postfix自己规则拒收垃圾邮件：

一、 使用头信息过滤邮件：

一般咱们可使用例如To、From、Subject等这样标准的邮件头来拒收垃圾邮件。在mail.cf中加入一行：header_checks = regexp:/etc/postfix/header_checks，它告诉postfix读取名为/etc/postfix/reject-headers的文件， 由于缺省地，postfix不进行信头过滤。

格式是：regexp REJECT ；其中regexp是常规表达式，下面是一个标准的/etc/postfix/reject-headers文件其中通常如下包括内容：

/^To You @xoom\.com $/ REJECT

/^From mailer-daemon @myclient.com $ / REJECT

/^Subject: Make menoey fast / REJECT
以上三行分别说明：

一、拒收邮件头中包括字符串：You @xoom\.com 的邮件。

二、拒收来自mailer-daemon @myclient.com的邮件。

三、拒

收邮件主题：包括Make menoey fast内容的邮件。

二、 经过阻止IP地址或主机名方式访问邮件服务器来拒收邮件：

（1） 在main.cf配置文件中使用如下行定义网络地址“

# mynetwork=192.168.1.0/24

表示除非客户端的ip地址符合$mynetworks参数定义的范围则接受该客户端的链接请求，才转发该邮件。

（2） 添加一行拒绝本地网络之外的主机访问本地邮件服务器：

smtpd_client_restrictions = permit_mynetworks, reject_unknown_client

（3）在postfix中添加RBL功能

RBL（Realtime Blackhole List）是实时黑名单。国外有一些机构提供RBL服务，它们把收集到的专发垃圾邮件的IP地址加入他们的黑名单，咱们只要在postfix中加入RBL认证功能，就会使咱们的邮件服务器在每次收信时都自动到RBL服务器上去查实，若是信件来源于黑名单，则postfix会拒收邮件，从而少受垃圾邮件之苦。一般在mail.cf加入

map_rb1_domains=mail-abuse.org

smtp_client_restrictions=reject_map1_rb1

其中第一行设置须要联系获得的RBL列表的全部主机，接着设置须要进行应用的限制。而后存盘，重新启动postfix服务器。

国外比较有名的RBL是http//www.ordb.org，他们的RBL可无偿使用，去年国内的http://anti-spam.org.cn也提供相似的服务，但它必须先注册才能使用免费。

另外垃圾邮件的防范必须掌握好尺度，postfix自己提供了header_check、body_check、access、classes等方式来拒绝邮件，能够参考以下地址的样例，结合本身的状况进行修改也能阻止一部分垃圾邮件： 
http://www.securitysage.com/guides/postfix_uce_header.html 
http://www.securitysage.com/guides/postfix_uce_body.html 
http://www.securitysage.com/guides/postfix_uce_access.html 
http://www.securitysage.com/guides/postfix_uce_class.html 
不过以上配置文件须要管理员根据本身状况手工进行修改，若是直接采用的话，那么国内不少邮件你将收不到。

2、安装IMSS

趋势科技的IMSS（InterScan Messaging Security Suite）版整合了垃圾邮件防治服务SPS（Spam Prevention Solution）2.0版。通常来讲，过滤服务器上的垃圾邮件主要采起以下两种方法：一是根据设置的规则直接拒收垃圾邮件；二是将邮件接收下来后再实施过滤。相比来看，前一种方法具备更高的效率，对邮件直接拒收，既节省网络带宽，又可减少服务器的性能开销。可是，这样作经常容易“殃及无辜”，使邮件用户丢失信件。后一种方法尽管效率不高，却可能减小出错的频率。若是服务器首先对接收下来的邮件进行有效分析，而后再交由用户进行选择，那么用户就不会为E-mail的无端丢失而烦恼。IMSS属于后者。
IMSS主要功能：

1. 利用数据库对比实现垃圾邮件过滤 ：提供被动式的垃圾邮件拦阻方式，利用创建垃圾邮件的黑名单数据库，根据来源的IP地址、网域，寄件人的电子邮件地址或是内容、标头所含的关

键词等作为数据库的基础。再将寄达的电子邮件与这已知的垃圾邮件数据库比对，藉以判别是否为垃圾邮件而后再来作拦阻的动做

2. 智能型判断过滤垃圾邮件 ：提供启发式（Heuristic）扫描引擎，实现主动式的智能拦阻方式，根据邮件的多项特征，包括内容、标头、格式等来判断这封email会不会是封垃圾邮件，再来针对这封电子邮件作处理。能够用来辨识和监测已识别及未识别的新型垃圾邮件。

3. 支持弹性设定垃圾邮件过滤器规则 ：为了规避误判风险，当SPS检测出垃圾邮件以后，还会依照确信程度的不一样分做四种等级，再依据设定进行“只作标记”、“隔离邮件”及“直接删除”操做。

4. 支持黑名单及白名单功能 ：支持黑名单（恶意邮件地址）及白名单（可信邮件地址）功能 。能够针对邮件来源网域，寄件者甚至是电子邮件自己的关键词来作特别处理的动做。这项功能能够实现针对某些网域或是寄件者的信件设定规则，不只要严加看管，必要状况下能够直接列入拒绝往来列表。

5. 实现与IMSS邮件病毒过滤网关集成： 经过产品的深度集成，能够实现多种判别条件的组合，可以更准确、更高效地进行网关级的邮件过滤，更完善地保护企业内部网络资源。

6. 多平台支持（Windows 2000/200三、Linux、Unix）。

硬件配置：CPU：Intel Pentium III processor 1 GHz 以上处理器,Memory：1 GB RAM,Disk Space：最小 2 GB 硬盘空间.交换空间2GB。

1． 修改/etc/postfix/main.cf中以下参数，更改成：

myhostname = trendmicro.com.cn

mydomain = trendmicro.com.cn

myorigin = trendmicro.com.cn

inet_interfaces＝all

mydestination = trendmicro.com.cn

local_recipient_maps =

//黑色域名部分请填写对应的domain name.

2． 在 /var/spool/postfix目录下新建etc目录，并运行：

# cp /etc/resolv.conf /var/spool/postfix/etc/

三、下载安装IMSS 5.5

下载以前须要到软件官方网站，注册而且获得一个AC—CODE，您须要提供以上激活码以获得病毒码及其余安全补丁的下载.下载连接：http://www.trendmicro.com/ftp/products/interscan/imss55linux1064.tar.gz

将下载文件拷贝到一个临时目录/tmp中。

# tar vxf imss55linux1064.tar.gz

#make;make install

#./isinst

系统提供了一个交换式的命令行界面，安装中请选择支持postfix，并根据实际状况肯定是否安装集中管理平台（TMCM）。安装结束系统提示能够打开Web管理的IP地址和端口号：见图2。

图2 IMSS 5.5 安装完成
四、命令行下的参数配置：

一、 一、/etc/postfix/main.cf文件末尾添加以下内容：

default_process_limit=200

imss_timeout=10m

imss_connect_timeout=1s

content_filter = imss:localhost:10025

imss_destination_recipient_limit=200

imss_destination_concurrency_limit=20

二、在/etc/postfix/master.cf文件末尾添加如下内容：

#IMSS: content filter smtp transport "imss" for IMSS

imss unix - - n - - smtp

-o disable_dns_lookups=yes

-o smtp_connect_timeout=$imss_connect_timeout

-o smtp_data_done_timeout=$imss_timeout

#IMSS: content filter loop back smtpd

localhost:10026 inet n - n - 20 smtpd

-o content_filter=

-o smtpd_timeout=$imss_timeout

-o local_recipient_maps=

-o myhostname=localhost.$mydomain

3． Relay 控制

a． 容许Relay的Domain设置：

编辑/etc/postfix/main.cf文件，在以下位置添加容许的任意Relay的Domain，如：

relay_domains = 263.net

b． 容许接受的Domain设置：

编辑/etc/postfix/main.cf文件，在以下位置添加容许接受的Domain

mydestination = trendmicro.com.cn

c． 不受Relay限制的地址设置

编辑/etc/postfix/main.cf文件，在以下位置添加容许接受的Domain

mynetworks = 10.11.240.0/24, 127.0.0.1

说明：所谓Relay就是指别人能用这台SMTP邮件服务器，给任何人发信，这样别有用心的垃圾发送者可使用笔者单位的这台邮件服务器大量发送垃圾邮件，而最后别人投诉的不是垃圾发送者，而是单位的服务器。

参数relay_domains %26amp; mydestination的主要区别在于：

Postfix会转发目的地符合 $relay_domains及其子域的邮件；

Postfix会接受目的地符合 $mydestination的邮件，而且在没有smart host的状况下尝试对这些域进行本地落地处理，于是，为了能正常的接受这些邮件，必定要对齐设置smart host；IMSS UNIX的Relay 控制界面设置中的域，便是$mydestination参数值，于是，必定要在IMSS的Domain-Based Delivery中作相应Deliver设置。

五、从新启动Postfix服务器：

#postfix start

从新让postfix读取更改后的配置只需运行“postfix reload”便可。

打开服务

器的8081端口：

# iptables -A FORWARD -i eth0 -p tcp --dport 8081 -j ACCEPT

iptables -A FORWARD -i eth0 -p udp --dport 8081 -j ACCEPT

六、启用Web方式管理：

服务器重新启动完毕，能够进行Web方式管理，开Web浏览器中输入：http://yourip:8081/IMSS.html或者http://yourhost:8445/IMSS.html 便可。第一次进入Web界面时系统提示输入密码，此时密码是空的，能够直接用鼠标点击“Enter”键进入Web管理界面后，立刻设定管理员密码。见图3。

图－3 首次登录界面

点击“Policy Manager”选项，下面就能够制定本身的邮件服务器邮件管理策略，见图4。

图－4 基于Web方式的IMSS 5.5的邮件管理策略界面
5 、软件升级

能够采起两种方法Web方式和命令行，这里笔者喜欢在命令行下操做：

下载升级布丁，连接：http://www.trendmicro.com/ftp/products/

patches/isem522-imss55-linux-patch1.tar.gz

＃mv isem522-imss55-linux-patch1.tar.gz /tmp

#cd /tmp

#gunzip isem522-imss55-linux-patch1.tar.gz

#./patchinstall install

软件升级过程当中IMSS5.5服务将暂时停止，升级后系统会自动启动IMSS 5.5服务。见图－5。

图5 升级IMSS数据库

3、使用专用工具防止垃圾邮件

还能够利用其余的专用工具来防止垃圾邮件，比较著名的有由Matt Sergeant、Craig Hughes和Justin Mason于发布的SpamAssassin（SA）。目前最新版本是3.0.2，它是较为流行的反垃圾邮件软件，据SpamAssassin供应商 Deersoft的统计，目前大约有3万台Unix服务器上使用了SpamAssassin。SpamAssassin利用Perl语言来对邮件内容进行规则匹配，从而达到判断过滤垃圾邮件的目的。它的判断方式是基于评分的方式，也就是说若是这封邮件符合某条规则，则给与必定分值；当累计的分值超过了必定限度时，则断定该邮件为垃圾邮件。对Sendmail、Qmail、Postfix和Exim等各类邮件平台都适用。当它被最终用户或系统管理员调用时，它能够方便地与大多数流行的邮件处理系统进行接口互连。SpamAssassin在对一封信件应用了各项规则以后，生成一个分值来表示其为垃圾邮件的可能性。它能够设置上百条规则，包括对邮件头的处理、对邮件内容的处理及对邮件结构的处理等。每条规则都对应一个分值（可正、可负），每封信件的分值就是所匹配规则的分值之和。若是分值为负，表示这封信件是正常的；相反，若是分值为正，则表示信件有问题。若是超过了某个默认的分值，过滤器就会标识其可能为垃圾邮件，而后交由用户作出最终抉择。SpamAssassin的安装过程比较简单。启动SpamAssassin服务器：

# service spamassassin start （启动SpamAssassin服务器）

Starting spamd: [ 肯定 ]

配置过程：

SpamAssassin预设了许多默认规则，能够在/usr/share/spamassassin下找到，用户想添加本身的规则，能够配置经过/etc/mail/spamassassin/local.cf文件实现。要在其中添加白名单（便可以确信不会发送垃圾邮件的发件人列表）。设置代码以下：

whitelist_from_rcvd people@basic.com

whitelist_from_rcvd @ people.com

　　以上两条规则将people@basic.com 邮箱和@ people.com 整个域加入了白名单。下面还要把SpamAssassin与Sendmail（此处以Postfix为例、Qmail略有不一样）整合在一块儿。最简单的方法是使用procmail来调用SpamAssassin过滤器。procmail来调用SpamAssassin的过程见图6。

图6 procmail来调用SpamAssassin的过程
添加如下内容到/etc/procmailrc文件：

:0fw

| /usr/bin/spamassassin

：0

* X-Spam-Status: Yes

spam

若是但愿SpamAssassin不检查大邮件，能够对其作出限制，添加一行：

:0fw * < 1000000 | /usr/bin/spamassassin

这段代码表示把邮件检查的大小限制在1000K字节之内。SpamAssassin还提供了一个专门的spamd后台守护程序，能够设置为系统启动时自动启动它。在Mail-SpamAssassin-3.-0.2/spamd/下有一个redhat-rc-script.sh脚本，将此脚本放入Red Hat的启动目录/etc/rc.d/init.d/下便可。同时，还须要对/etc/procmailrc文件作以下修改：

:0fw

| /usr/bin/spamc -s 100000

这样就能够经过控制spamd进程来调整过滤器的运行状态。配置完成后，能够发邮件进行测试。若是看到在邮件头出现与spam检查相关的几项内容，表示SpamAssassin已经开始发挥做用。

除了设置内部的规则以外，SpamAssassin也能够访问其它外部的垃圾邮件过滤规则集，这样能够进一步加强其适用性。Chinese_rules.cf是用于垃圾邮件过滤系统SpamAssassin的中文垃圾邮件过滤规则集。因为之前没有中文的过滤规则集，SpamAssassin对中文邮件过滤的准确性不高。CCERT反垃圾邮件研究小组推出了第一个基于SpamAssassin的中文垃圾邮件过滤规则集Chinese_rules.cf。该规则集每周更新一次。把Chinese_rules.cf复制到/usr/share/spamassassin配置文档中的命令：

# wget -N -P /usr/share/spamassassin www.ccert.edu.cn/spam/sa/Chinese_rules.cf

自动更新：

CCERT每周更新一次规则集，更新使用CCERT反垃圾邮件服务在6个月内处理过的垃圾邮件为样本。常常更新Chinese_rules.cf会使过滤效果更好。

Linux有一个称为crond的守护程序，主要功能是周期性地检查 /var/spool/cron目录下的一组命令文件的内容，并在设定的时间执行这些文件中的命令。用户能够经过crontab 命令来创建、修改、删除这些命令文件。例如用 crontab命令实现每周一08:35自动更新：

首先创建一个文件，文件名称myproject(名称本身设定)：

＃crontab －e

文件内容：

35 08 * * 1 wget -N -P /usr/share/spamassassin www.ccert.edu.cn/spam/sa/Chinese_rules.cf; /etc/init.d/init-script restart

用vi编辑后存盘退出。

（3）使用 crontab命令添加到任务列表中：

＃crontab myproject

这样Linux服务器会在每星期一的8点35分会自动下载Chinese_rules.cf更新规则。

SpamAssassin使用基于规则的垃圾邮件过滤技术，比分布式黑名单运行得更快，由于分布式黑名单须要查询网络服务器。对大多数用户而言，它能捕捉几乎全部的垃圾邮件，而不须要隔离合法邮件。实际上它还提供了无限的调整和定制选项。

4、其余措施

1.隐藏邮件服务器IP地址

若是网络中有专门发送邮件的中央邮件服务器，为许多主机提供访问，那么必须隐藏邮件地址的主机名部分，（以postfix邮件服务器为例）例如一条名为：pc-jok.cao.com的主机上有一个jok用户那么它的邮件名称是：jok@pc-jok.cao.com main.cf加入两行：

masquerade_domain=$mydomian

masquerade_exceptions=root

第一行通知postfix邮件服务器对所在德 域容许地址化装，经过$mydomian变量完成，这样jok@pc-jok.cao.com变为jok@cao.com，第二行将root用户排除，即不对root用户假装。

2.防范DOS攻击：

　　DOS（拒绝服务攻击）一段时间以来成为许多单位邮件服务器的最大杀手。对于邮件服务器的拒绝服务攻击原理很简单，就是不断地向邮件服务器发送大量的邮件，直到超过最大容量而崩溃为止。拒绝服务攻击有时并不是有针对性的黑客行为，如今的病毒经常会利用自身的SMTP引擎，向感染电脑里的存在的地址狂发大量邮件。若是中小企业认为本身的公司小，不会成为攻击目标，这种想法已经不现实了。对于中小企业来讲，要预防DOS攻击比大型企业要容易，由于小型企业每每不会有太多的邮件来往，咱们能够根据业务量的大小，限制每一个链接的邮件数，以及每封邮件的收件人数。这样，用户对于DOS攻击就能够作到尽早地发现并采起措施，而不会等到服务器崩溃的时候才发现被人实施了DOS攻击。步骤以下：

2. 限制服务器使用的进程数目

能够经过指定/etc/postfix/main.cf文件的下列参数来控制使用的并发进程总量：

default_process_limit = 50

这样服务器被容许同时容许60个并发进程（例如smtp客户端、smtp服务器端和本地分发）。若是但愿增长同时接受1000条信息，能够修改 /etc/postfix/ master.cf文件，使smtp服务的最大进程达到1000,以下所示：

#=============================================================

# service type private unpriv chroot wakeup maxproc command + args

# (yes) (yes) (yes) (never) (60)

# ===========================================

smtp inet n - n - 1000 smtpd

3.控制最大邮件尺寸

能够修改/etc/postfix/main.cf以下参数控制邮件尺寸

message_size_limit = 1073741824

这样服务器能够处理最大邮件尺寸是1073741824字节 (10兆).

4. 控制同时发送一个远程服务器的邮件数量

同时向远程服务器发送太多SMTP链接是不合理的，也是危险的（可能会被认为是
发送垃圾邮件）。一些大的ISP站点（AOL、 Yahoo!、 Hotmail）一般要求优
化等到许可才能使用发送并发链接。Postfix 也能经过下面参数设定一个站点的最
大并发链接数量：

default_destination_concurrency_limit = 20

这样使到达单一站点的并发链接数量不能超过20个。

5.安装防病毒软件：

F-Prot Antivirus软件包安装和配置过程：软件包格式： fp-linux-ws.rpm

软件包的大小（KB）：3970KB，下载地址：
http://files.f-prot.com/files/linux-x86/fp-linux-ws.rpm

安装F-Prot Antivirus软件包前，请先启动SpamAssassin服务器：

Wget http://files.f-prot.com/files/linux-x86/fp-linux-ws.rpm

Wget －ivh fp-linux-ws.rpm

升级的F-Prot Antivirus病毒库的操做：

# cd /usr/local/f-prot/tools/

# ./check-updates.pl （升级命令）

***************************************

* F-Prot Antivirus Updater *

***************************************

Nothing to be done...

总结：Postfix是目前比较流行的，拥有至关好的安全性和高效率的邮件系统。Postfix自身带了不少反垃圾邮件的功能能够阻止一部分垃圾邮件，可是面对日益痴狂的垃圾邮件仍是须要一些专业软件的支持。