Quelle est la meilleure façon de durcir un client postfix null sur un server Web php exploité?

Nous utilisons Postfix comme un client nul pour envoyer un courrier à partir d'un server web php via sendmail. Nous hébergeons nos servers de messagerie entrants ailleurs et utilisons un logging SPF pour autoriser le server à envoyer des courriels à partir de notre domaine. Tout cela fonctionne.

Maintenant, je souhaite durcir postfix, en particulier contre les scripts PHP exploités qui envoient des courriers indésirables. Mais le problème, c'est que je souhaite que les courriels soient envoyés à n'importe quelle adresse valide car j'ai des formulaires Web clients qui doivent pouvoir recevoir des courriels de confirmation. Je me rends count que c'est une limitation des dégâts et qu'il y a tellement de choses possibles.

Qu'est-ce que les gens suggèrent pour détecter / prévenir cela? ou je devrais concentrer mes efforts ailleurs.

Les choses que j'ai pensées mais qui n'ont pas encore été essayées sont:

  1. Pour arrêter les courriels envoyés sous FROM: domaines auxquels je ne suis pas autorisé à envoyer. J'ai trouvé comment configurer ceci en utilisant smtpd_recipient_ressortingctions = check_sender_access Est-ce que cela fonctionnera avec localmail sendmail? Cela vaut-il la peine si l'attaquant sait que les mails ne sont envoyés qu'avec l'adresse FROM correcte?

  2. Pour détecter qu'une quantité d'emails est envoyée par localhost et pour l'arrêter et m'envoyer par courrier électronique. Aucune idée de la façon de procéder ou même si c'est possible.

Je vous suggère de déplacer le server de messagerie vers une machine différente et d'empêcher le server Web réel de communiquer sur le port 25 avec n'importe quel autre que votre server de messagerie. Cela signifie que même un spambot personnalisé (qui ne repose pas sur aucune fonction de messagerie et utilise des sockets simples) ne fonctionnera pas.

Sur votre server de messagerie, créez des counts d'users (virtuels) pour chacun de vos clients d'hébergement afin que vous puissiez les identifier de manière unique, appliquer des limites de taux et les bloquer si elles spamment sans bloquer d'autres users sur le même server.

Enfin, installez PolicyD et appliquez les limites de taux par client et la vérification des courriers indésirables du courrier sortant, afin de ralentir le spammeur potentiel et vous avertir si le courrier sortant semble spamme.

Rien n'est parfait, bien sûr, mais cette mise en place vous avertira au less que le courrier sortant ressemble à un spam et gardera le spam relativement lent en raison des limites de taux jusqu'à ce que vous enquêtiez et (espérons-le) nuke tout le count d'hébergement.