example/postlicyd.conf

   1 # POSTLICYD configuration
   2 #
   3 # Postlicyd configuration contains:
   4 #  - a set of filter definition
   5 #  - the entry point in the filters for each smtp states
   6 #
   7 # The configuration format use 2 types of data:
   8 #   Token:  [[:alpha:]]([[:alnum:]_]*)
   9 #   String: string format is a bit more complex. It can be one of the two following
  10 #           format:
  11 #       - C-like strings "[^\n\r]*". In this kind of string, the \ character is used to
  12 #         escape any character \c = c (\n = n, \\ = \, ...). This format allow non-ascii
  13 #         strings and string concatenation " abcd " "ef" = " abcd ef".
  14 #       - ASCII-only strings can be written without double-quotes. They can be splitted
  15 #         into several lines using shell-like escaping of EOL. A string begins and ends on
  16 #         on a non-blank character. This king of string can not contain semi-colons.
  17 # eg:
  18 #  The following format are equivalent:
  19 #   (1) this is a str\
  20 #   (1)    ing
  21 #
  22 #   (2) "this is a string"
  23 #
  24 #   (3) "this " "is a "
  25 #   (3) "string"
  26 #
  27 # Most of the configuration use a format:
  28 #     Token = String ;
  29 #
  30 # When not in a string, spaces and line breaks are ignored. You can use comments
  31 # everywhere out of a string. It starts with a '#' character and ends at the end of the
  32 # line. Comments are strictly equivalents to white spaces.
  33
  34 # FILTER DEFINITION
  35 #
  36 # A definition of a filter contains:
  37 #  - the name of the filter. This name MUST be uniq (non-uniq names can lead to undefined
  38 #    behaviour)
  39 #  - a type
  40 #  - a list of type-specific parameters
  41 #  - a list of hooks (on_hookname)
  42 #
  43 # Format:
  44 #  A filter look likes that:
  45 #
  46 #  filter_name {
  47 #    type = type_name;
  48 #    param1 = parameter value 1;
  49 #    ...
  50 #    on_hook1 = action1;
  51 #    on_hook2 = action2;
  52 #    ...
  53 #  }
  54 #
  55 # Hooks:
  56 #   A filter can returns different values. Each return value is given a name. The
  57 #   configuration associates an action to run to a return value name.
  58 #
  59 #   The action can be either a postfix access(5) value or a filter name. Postfix access
  60 #   parameters must be prefixed by 'postfix:'.
  61 #
  62 # eg:
  63 #   on_match = postfix:REJECT Blacklisted;
  64 #
  65 # Filter:
  66 #   Current defined filter types are:
  67 #     - iplist: match the client_address against one or more blacklist files from a rbl
  68 #        Parameters:
  69 #           - file: (no)?lock:weight:filename
  70 #             declare a file to load. If lock is given, the klist is locked into the
  71 #             RAM. The weight is a number giving the weight of this blaclist file in the
  72 #             score of the IP
  73 #           - rbldns: (no)?lock:weight:filename
  74 #             this is an alias for file.
  75 #           - soft_threshold: score (default: 1)
  76 #             minimum score to match the soft_match return value
  77 #           - hard_threshold: score (default: 1)
  78 #             minimum score to match the hard_match return value
  79 #        Return value:
  80 #          The score of a query is the sum of the weight of the blacklist it matched.
  81 #           - If the IP can not be parsed, returns error
  82 #           - If the score is strictly greater >= than hard_threshold, returns hard_match
  83 #           - If the score is strictly greater >= than soft_threshold, returns soft_match
  84 #           - Else, returns fail
  85
  86 # Lookup in a rbl
  87 spamhaus_and_abuseat {
  88   type   = iplist;
  89
  90   # configuration
  91   file   = lock:10:/var/spool/postlicyd/rbl.spamhaus.org;
  92   file   = lock:1:/var/spool/postlicyd/cbl.abuseat.org;
  93   soft_threshold = 1;
  94   hard_threshold = 11;
  95
  96   # hooks
  97   on_soft_match = greylist;
  98   on_hard_match = postfix:REJECT optional text;
  99   on_fail       = postfix:OK;
 100   on_error      = postfix:DUNNO;
 101 }
 102
 103
 104 #     - strlist: match strings from the query against a list of list.
 105 #        Parameters:
 106 #           - file: (no)?lock:(partial-)?(pre|suf)fix:weight:filename
 107 #             declare a file to load. If lock is given, the list is locked into the
 108 #             RAM. Prefix/Suffix is a parameter to tell the matcher which is the most
 109 #             efficient storage order. The strings are internally stored into a trie that
 110 #             allow high compression if a lot of prefix are shared by several strings. If
 111 #             you choose "prefix", string are stored in the natural order in memory and
 112 #             prefix compression is performed. If you choose "suffix", strings are stored
 113 #             in reverse order in memory and suffix compression is performed. If you add "partial-"
 114 #             to the match order, the entry will match if the file contains a prefix (resp. suffix)
 115 #             of the string. The weight is a number giving the weight of this list in the string score.
 116 #               e.g.:
 117 #                * a file that contains ".polytechnique.org" in "partial-suffix" mode will match
 118 #                 all subdomains of "polytechnique.org".
 119 #                * a file that contains "postmaster@" in "partial-prefix" mode will match all
 120 #                 postmaster emails.
 121 #                * a file open without "partial-" modifier match exact strings.
 122 #           - rbldns: (no)?lock:weight:filename
 123 #             declare a rbldns zone file to load. This is exactly the same as file excepted that it wraps
 124 #             parsing of hostname to split them into 2 categories:
 125 #               * names beginning with '*' are sorted as 'domains' and are matched as suffix
 126 #               * names starting with an alphanumirical character are sorted as 'hostnames' and are
 127 #                process via exact matching.
 128 #           - soft_threshold: score (default: 1)
 129 #             minimum score to match the soft_match return value
 130 #           - hard_threshold: score (default: 1)
 131 #             minimum score to match the hard_match return value
 132 #           - fields: field_name(,field_name)*
 133 #             list of field the match the string against.
 134 #             currently only email OR hostname fields are supported. You MUST choose only
 135 #             one of these types per strlist, and be carefull that the field you requested
 136 #             are available in the protocol state you want to use this filter for.
 137 #              * hostname fields: helo_name, client_name, reverse_client_name, sender_domain,
 138 #                         recipient_domain
 139 #              * email fields: sender, recipient
 140 #             No space is allowed in this parameter.
 141 #        Return value:
 142 #          The score of a query is the sum of the weight of the list it matched.
 143 #           - If the score is strictly greater >= than hard_threshold, returns hard_match
 144 #           - If the score is strictly greater >= than soft_threshold, returns soft_match
 145 #           - Else, returns fail
 146 #        State:
 147 #           - to match helo_name, you must be on HELO state or later
 148 #           (stmpd_helo_restrictions)
 149 #           - to match sender, you must be on MAIL state or later
 150 #           (smtpd_sender_restrictions)
 151 #           - to match recipient, you must on RCPT state (stmpd_recipient_restrictions)
 152 #           - client_name and reverse_client_name are always available
 153
 154 # Whitelist some clients
 155 client_whitelist {
 156   type  = strlist;
 157
 158   # configuration
 159   file    = lock:1:suffix:/var/spool/postlicyd/client_whitelist;
 160   rbldns  = lock:1:/va/spool/postlicyd/abuse.rfc-ignorant.org;
 161   fields  = client_name,sender_domain,helo_name;
 162
 163   # hooks
 164   on_hard_match = postfix:OK;
 165   on_fail       = spamhaus_and_abuseat;
 166 }
 167
 168
 169 #     - greylist: greylister
 170 #        Paramters:
 171 #           - path: /my/path/ (required)
 172 #             path where to store the greylist database
 173 #           - prefix: name (default: "")
 174 #             prefix to the name of the greylist database
 175 #           - lookup_by_host: boolean (default: false)
 176 #             perform lookup per host instead of domain.
 177 #           - delay: number (default: 300)
 178 #             number of seconds the client must wait before retrial.
 179 #           - retry_window: (default: 2 * 24 * 3600)
 180 #             number of seconds we wait for a retry.
 181 #           - client_awl: number (default: 5)
 182 #             number of successful greylisting before the client get whitelisted (0 means,
 183 #             no-auto-whitelist).
 184 #           - max_age: number (default: 30 * 3600)
 185 #             lifetime of a greylist/whitelist session: ie, if a client does ne reappear during
 186 #             max_age seconds, the entries associated to this client are invalidated.
 187 #         Return value:
 188 #           - if the client is whitelisted, returns whitelist
 189 #           - if the client is greylisted, returns greylist
 190 #           - if a error occured (not currently possible), returns error
 191 #         State:
 192 #           this filter is a recipient filter and works in RCPT state only
 193 #           (smtpd_recipient_restrictions).
 194
 195 # Perform greylisting
 196 greylist {
 197   type   = greylist;
 198
 199   # configuration
 200   path   = /var/spool/postlicyd/;
 201   prefix = greylist_;
 202
 203   # hooks
 204   on_greylist  = postfix:DEFER_IF_PERMIT optional text;
 205   on_whitelist = postfix:OK;
 206 }
 207
 208
 209 #     - match: direct matching against the query fields
 210 #        Parameters:
 211 #           - match_all: boolean
 212 #             if true, the filter won't match until all conditions
 213 #             are verified. If false, the filter match on the first
 214 #             verified condition.
 215 #           - condition: field_name OP (value)
 216 #             * the field_name is one of the field name of the query
 217 #              emitted by postfix. This list with description of each
 218 #              field is available at:
 219 #               http://www.postfix.org/SMTPD_POLICY_README.html
 220 #              postlicyd also support fields sender_domain and recipient_domain
 221 #             * OP is an operator. Available operators are:
 222 #                == field_name is strictly equal to value
 223 #                =i field_name is case insensitively equal to value
 224 #                != field_name is not equal to value
 225 #                !i field_name is not case insensitively equal to value
 226 #                >= field_name contains value
 227 #                >i field_name contains case insensitively value
 228 #                <= field_name is contained by value
 229 #                <i field_name is contained case insensitively by value
 230 #                #= field_name is empty or not set
 231 #                #i field_name is not empty
 232 #         Return value:
 233 #           - if the conditions are verified (according to match_all strategy), return match
 234 #           - if the conditions are not verified, return fail
 235
 236 # match one of the condition: "stress mode activated", "client_name contains debian.org" or
 237 #                             "recipient is empty"
 238 match {
 239   type = match;
 240
 241   # configuration
 242   match_all = false;
 243   condition = stress == yes;
 244   condition = client_name >= debian.org;
 245   condition = recipient #=;
 246
 247   # hook
 248   on_match = postfix:OK;
 249   on_fail = greylist;
 250 }
 251
 252
 253 # ENTRY POINTS
 254 #
 255 # Access policy daemon can be used at several protocol states. For each of this states,
 256 # you can define a different entry point in the filtering tree. This entry points have
 257 # the following format:
 258 #
 259 #  state = filter_name;
 260 #
 261 # The filter_name MUST be one of the filter you previously defined.
 262 #
 263 # The available states are:
 264 #  - client_filter: called on CONNECT state (smtpd_client_restrictions)
 265 #  - helo_filter (or ehlo_filter): called on HELO/EHLO command (smtpd_helo_restrictions)
 266 #  - sender_filter: called on the MAIL FROM command (stmpd_sender_restrictions)
 267 #  - recipient_filter: called on the RCPT TO command (smtpd_recipient_restrictions)
 268 #  - data_filter: called on the DATA command (smtpd_data_restrictions)
 269 #  - end_of_data_filter: called on the END-OF-DATA command
 270 #    (smtpd_end_of_data_restrictions)
 271 #  - etrn_filter: called on the ETRN command (stmpd_etrn_restrictions)
 272 #  - verify_filter: called on the VRFY command (no postfix hook ?)
 273
 274 recipient_filter = client_whitelist;
 275
 276
 277 # SERVER PORT
 278 #
 279 # Port to which the server is bound. The default is 10000. If the port is specified as
 280 # a command line parameter, the value specified on command line overides this value.
 281 #
 282 # You must RESTART the server to change the port (reload does not affect the port).
 283
 284 port = 10000;
 285
 286 # vim:set syntax=conf: