example/postlicyd.conf

   1 # POSTLICYD configuration
   2 #
   3 # Postlicyd configuration contains:
   4 #  - a set of filter definition
   5 #  - the entry point in the filters for each smtp states
   6 #
   7 # The configuration format use 2 types of data:
   8 #   Token:  [[:alpha:]]([[:alnum:]_]*)
   9 #   String: string format is a bit more complex. It can be one of the two following
  10 #           format:
  11 #       - C-like strings "[^\n\r]*". In this kind of string, the \ character is used to
  12 #         escape any character \c = c (\n = n, \\ = \, ...). This format allow non-ascii
  13 #         strings and string concatenation " abcd " "ef" = " abcd ef".
  14 #       - ASCII-only strings can be written without double-quotes. They can be splitted
  15 #         into several lines using shell-like escaping of EOL. A string begins and ends on
  16 #         on a non-blank character. This king of string can not contain semi-colons.
  17 # eg:
  18 #  The following format are equivalent:
  19 #   (1) this is a str\
  20 #   (1)    ing
  21 #
  22 #   (2) "this is a string"
  23 #
  24 #   (3) "this " "is a "
  25 #   (3) "string"
  26 #
  27 # Most of the configuration use a format:
  28 #     Token = String ;
  29 #
  30 # When not in a string, spaces and line breaks are ignored. You can use comments
  31 # everywhere out of a string. It starts with a '#' character and ends at the end of the
  32 # line. Comments are strictly equivalents to white spaces.
  33
  34 # FILTER DEFINITION
  35 #
  36 # A definition of a filter contains:
  37 #  - the name of the filter. This name MUST be uniq (non-uniq names can lead to undefined
  38 #    behaviour)
  39 #  - a type
  40 #  - a list of type-specific parameters
  41 #  - a list of hooks (on_hookname)
  42 #
  43 # Format:
  44 #  A filter look likes that:
  45 #
  46 #  filter_name {
  47 #    type = type_name;
  48 #    param1 = parameter value 1;
  49 #    ...
  50 #    on_hook1 = action1;
  51 #    on_hook2 = action2;
  52 #    ...
  53 #  }
  54 #
  55 # Hooks:
  56 #   A filter can returns different values. Each return value is given a name. The
  57 #   configuration associates an action to run to a return value name.
  58 #
  59 #   The action can be either a postfix access(5) value or a filter name. Postfix access
  60 #   parameters must be prefixed by 'postfix:'.
  61 #
  62 # eg:
  63 #   on_match = postfix:REJECT Blacklisted;
  64 #
  65 # Filter:
  66 #   Current defined filter types are:
  67 #     - iplist: match the client_address against one or more blacklist files from a rbl
  68 #        Parameters:
  69 #           - file: (non)?lock:weight:filename
  70 #             declare a file to load. If lock is given, the klist is locked into the
  71 #             RAM. The weight is a number giving the weight of this blaclist file in the
  72 #             score of the IP
  73 #           - soft_threshold: score (default: 1)
  74 #             minimum score to match the soft_match return value
  75 #           - hard_threshold: score (default: 1)
  76 #             minimum score to match the hard_match return value
  77 #        Return value:
  78 #          The score of a query is the sum of the weight of the blacklist it matched.
  79 #           - If the IP can not be parsed, returns error
  80 #           - If the score is strictly greater >= than hard_threshold, returns hard_match
  81 #           - If the score is strictly greater >= than soft_threshold, returns soft_match
  82 #           - Else, returns fail
  83
  84 # Lookup in a rbl
  85 spamhaus_and_abuseat {
  86   type   = iplist;
  87
  88   # configuration
  89   file   = lock:10:/var/spool/postlicyd/rbl.spamhaus.org;
  90   file   = lock:1:/var/spool/postlicyd/cbl.abuseat.org;
  91   soft_threshold = 1;
  92   hard_threshold = 11;
  93
  94   # hooks
  95   on_soft_match = greylist;
  96   on_hard_match = postfix:REJECT optional text;
  97   on_fail       = postfix:OK;
  98   on_error      = postfix:DUNNO;
  99 }
 100
 101
 102 #     - strlist: match strings from the query against a list of list.
 103 #        Parameters:
 104 #           - file: (non)?lock:(pre|suf)fix:weight:filename
 105 #             declare a file to load. If lock is given, the list is locked into the
 106 #             RAM. Prefix/Suffix is a parameter to tell the matcher which is the most
 107 #             efficient storage order. The strings are internally stored into a trie that
 108 #             allow high compression if a lot of prefix are shared by several strings. If
 109 #             you choose "prefix", string are stored in the natural order in memory and
 110 #             prefix compression is performed. If you choose "suffix", strings are stored
 111 #             in reverse order in memory and suffix compression is performed. The weight
 112 #             is a number giving the weight of this list in the string score.
 113 #           - soft_threshold: score (default: 1)
 114 #             minimum score to match the soft_match return value
 115 #           - hard_threshold: score (default: 1)
 116 #             minimum score to match the hard_match return value
 117 #           - fields: field_name(,field_name)*
 118 #             list of field the match the string against.
 119 #             currently only email OR hostname fields are supported. You MUST choose only
 120 #             one of these types per strlist, and be carefull that the field you requested
 121 #             are available in the protocol state you want to use this filter for.
 122 #              * hostname fields: helo_name, client_name, reverse_client_name
 123 #              * email fields: sender, recipient
 124 #        Return value:
 125 #          The score of a query is the sum of the weight of the list it matched.
 126 #           - If the score is strictly greater >= than hard_threshold, returns hard_match
 127 #           - If the score is strictly greater >= than soft_threshold, returns soft_match
 128 #           - Else, returns fail
 129 #        State:
 130 #           - to match helo_name, you must be on HELO state or later
 131 #           (stmpd_helo_restrictions)
 132 #           - to match sender, you must be on MAIL state or later
 133 #           (smtpd_sender_restrictions)
 134 #           - to match recipient, you must on RCPT state (stmpd_recipient_restrictions)
 135 #           - client_name and reverse_client_name are always available
 136
 137 # Whitelist some clients
 138 client_whitelist {
 139   type  = strlist;
 140
 141   # configuration
 142   file    = lock:1:/var/spool/postlicyd/client_whitelist;
 143   fields  = client_name;
 144
 145   # hooks
 146   on_hard_match = postfix:OK;
 147   on_fail       = spamhaus_and_abuseat;
 148 }
 149
 150
 151 #     - greylist: greylister
 152 #        Paramters:
 153 #           - path: /my/path/ (required)
 154 #             path where to store the greylist database
 155 #           - prefix: name (default: "")
 156 #             prefix to the name of the greylist database
 157 #           - lookup_by_host: boolean (default: false)
 158 #             perform lookup per host instead of domain.
 159 #           - delay: number (default: 300)
 160 #             number of seconds the client must wait before retrial.
 161 #           - retry_window: (default: 2 * 24 * 3600)
 162 #             number of seconds we wait for a retry.
 163 #           - client_awl: number (default: 5)
 164 #             number of successful greylisting before the client get whitelisted (0 means,
 165 #             no-auto-whitelist).
 166 #         Return value:
 167 #           - if the client is whitelisted, returns whitelist
 168 #           - if the client is greylisted, returns greylist
 169 #           - if a error occured (not currently possible), returns error
 170 #         State:
 171 #           this filter is a recipient filter and works in RCPT state only
 172 #           (smtpd_recipient_restrictions).
 173
 174 # Perform greylisting
 175 greylist {
 176   type   = greylist;
 177
 178   # configuration
 179   path   = /var/spool/postlicyd/;
 180   prefix = greylist_;
 181
 182   # hooks
 183   on_greylist  = postfix:DEFER_IF_PERMIT optional text;
 184   on_whitelist = postfix:OK;
 185 }
 186
 187
 188 #     - match: direct matching against the query fields
 189 #        Parameters:
 190 #           - match_all: boolean
 191 #             if true, the filter won't match until all conditions
 192 #             are verified. If false, the filter match on the first
 193 #             verified condition.
 194 #           - condition: field_name OP (value)
 195 #             * the field_name is one of the field name of the query
 196 #              emitted by postfix. This list with description of each
 197 #              field is available at:
 198 #               http://www.postfix.org/SMTPD_POLICY_README.html
 199 #             * OP is an operator. Available operators are:
 200 #                == field_name is strictly equal to value
 201 #                =i field_name is case insensitively equal to value
 202 #                != field_name is not equal to value
 203 #                !i field_name is not case insensitively equal to value
 204 #                >= field_name contains value
 205 #                >i field_name contains case insensitively value
 206 #                <= field_name is contained by value
 207 #                <i field_name is contained case insensitively by value
 208 #                #= field_name is empty or not set
 209 #                #i field_name is not empty
 210 #         Return value:
 211 #           - if the conditions are verified (according to match_all strategy), return match
 212 #           - if the conditions are not verified, return fail
 213
 214 match {
 215   type = match;
 216
 217   # configuration
 218   match_all = false;
 219   condition = stress == yes;
 220   condition = client_name >= debian.org;
 221   condition = recipient #=;
 222
 223   # hook
 224   on_match = postfix:OK;
 225   on_fail = greylist;
 226 }
 227
 228
 229 # ENTRY POINTS
 230 #
 231 # Access policy daemon can be used at several protocol states. For each of this states,
 232 # you can define a different entry point in the filtering tree. This entry points have
 233 # the following format:
 234 #
 235 #  state = filter_name;
 236 #
 237 # The filter_name MUST be one of the filter you previously defined.
 238 #
 239 # The available states are:
 240 #  - client_filter: called on CONNECT state (smtpd_client_restrictions)
 241 #  - helo_filter (or ehlo_filter): called on HELO/EHLO command (smtpd_helo_restrictions)
 242 #  - sender_filter: called on the MAIL FROM command (stmpd_sender_restrictions)
 243 #  - recipient_filter: called on the RCPT TO command (smtpd_recipient_restrictions)
 244 #  - data_filter: called on the DATA command (smtpd_data_restrictions)
 245 #  - end_of_data_filter: called on the END-OF-DATA command
 246 #    (smtpd_end_of_data_restrictions)
 247 #  - etrn_filter: called on the ETRN command (stmpd_etrn_restrictions)
 248 #  - verify_filter: called on the VRFY command (no postfix hook ?)
 249
 250 recipient_filter = client_whitelist;
 251
 252
 253 # SERVER PORT
 254 #
 255 # Port to which the server is bound. The default is 10000. If the port is specified as
 256 # a command line parameter, the value specified on command line overides this value.
 257 #
 258 # You must RESTART the server to change the port (reload does not affect the port).
 259
 260 port = 10000;
 261
 262 # vim:set syntax=conf: