Tento článek obsahuje základní informace o instalaci a implementaci Open Source Anti spamovému filtru eFa 4 OpenSource Spamfilter. eFa4 je možné implementovat různými způsoby, jak do firmy tak i jako v našem případě pro malého ISP providera. Tato instalace bude vycházet z konfigurace eFa4 pouze pro filtraci příchozí pošty. Pokud by Vás článek zaujal, zaregistrujte se a potom, je možné článek číst.

Tento článek bych rád věnoval instalaci a implementaci Open Source Anti spamovému filtru eFa 4 OpenSource Spamfilter. eFa4 je možné implementovat různými způsoby, jak do firmy tak i jako v našem případě pro malého ISP providera. Tato instalace bude vycházet z konfigurace eFa4 pouze pro filtraci příchozí pošty. Odchozí server zůstává v původní konfiguraci, hlavně z důvodu nastavených konfigurací SPF, DKIM a DMARC přímo v doménových záznamech a odkazovaných na mailserver. V našem případě se jedná o stovky domén a rekonfigurace by zabrala zbytečně mnoho času. Hlídáme si odchozí trafik na portech SMTP pro případ napadení emailových schránek našich klientů. Prostě posílat odchozí poštu přes eFa4 se nám neosvědčilo.

Popisovaná konfigurace vychází z umístění mailserveru a eFa4 jako virtuálních systému (VMWARE, HYPER-V ...). Vše umístěné až v lokální síti za firewallem. Ve firewalu NATované porty pro SMTP, POP3, IMAP a DNS vždy na lokální virtuál, jak na mailserver tak i na eFa4. Výběr mailserveru a jeho konfiguraci nebudu popisovat, každý si volí mailserver dle vlastního uvážení. 
https://wiki.efa-project.org/doku.php?id=firewall_ports 

Prvním krokem je pořízení domény pro eFa4 filter. V diagramu níže je inspiračne nazvaná filter.cz. Doporučuji v DNS záznamu nastavit i subdoménu (např.efa.filter.cz), přímo se odkazující na webové rozhraní eFa4  MailWatch. V tomto webovém rozhraní najdete všechny potřebné funkce pro operace s maily, nastavování blacklistu a whitelistu a dalších funkcích statistik a filtrací mailů + ručního Bayesovského učení - pokud by jste potřeboval. 

Doporučuji si před instalací nakonfigurovat doménu a DNS záznamy pro eFa4. Tyto údaje budete vyplňovat při instalaci. Jak mailserver tak eFa4 musí mít svou vlastní venkovní IP adresu směrovanou NATem ve firewalu na vnitřní adresy lokální sítě. 

Dalším krokem je instalace nového virtuálního stroje s eFa4. Instalaci si stáhněte zde - https://efa-project.org/download/

V našem případě jsme stáhli ISO a nainstalovali již přednastavenou instanci CENTOS 7. https://mirrors.efa-project.org/images/eFa-4.0.0/eFa4.iso

Po instalaci CENTOS 7 spusťte instalaci eFa4. Postup najdete na https://wiki.efa-project.org/doku.php?id=setup_guide

Níže připojuji diagram konfigurace.

Při vlastní instalaci eFa4 postupujte dle postupu na stránkách projektu https://wiki.efa-project.org/doku.php?id=initial_configuration. Vyplňte všechny požadované informace. Co se týká IP adresy eFa4 volte IP adresu vnitřní sítě. Na diagramu vpravo dole. (Stejně tak jako Váš mailserver musí mít IP adresu vnitřní sítě). Nezapomeňte si řádně zapamatovat vytvořené uživatele a jejich hesla. 

Po vyplnění všech otázek se instalace dokončí.

Přihlaste se jako administrator do konzoly eFa4.

V menu 4) IP settings si zkontrolujte a případně upravte IP adresy a doménová jména v bodu 3), 4), 5, 13) a 14)

V hlavním menu v bodu 6) MailWatch settings jsem volbou 3) Quarantine Retention vypnul funkce GRAYLISTING. V našem případě používání graylistů bylo neúnosně zpomalující doručování. 

Dále jsem v hlavním menu v bodu 15) instaloval SSL certifikát pro subdoménu (např. fiktivně efa.filter.cz) pro přístup k MailWatch webovému rozhraní. Doporučuji SSL certifikát instalovat až po řádném nastavení subdomény v bodu 4) hlavního menu !!! Název subdomény my měl dávat smysl.

Určitě si projděte všechny položky hlavního menu a postupujte podle manuálu konfigurace na https://wiki.efa-project.org/doku.php?id=efa-configure_menu 

V bohu 17) si můžete instalovat Webmin pro správu celého virtuálu eFa4. Předpokládám, že si budete vždy jisti co můžete použitím webminu udělat a proto doporučuji vždy před užitím zálohovat celý virtuál.

No a skoro posledním krokem je bod 7) hlavního menu. Nastavte si v bodě 3) admin email, kam posílá eFa4 emaily ohledně systémových hlášení aj.

V bodě 4) se definují domény a IP adresy vnitřní sítě mailserverů, na které chcete doručovat příchozí emaily. Jak je z toho zřejmé, můžete se odkazovat na více mailserverů ve vnitřní síti a pokud máte proroutováno, odkazovat se i na venkovní IP jiných serverů. Toto je jedním z nejdůležitějších kroků pro průchod emailů do mailserveru.

Např. https://wiki.efa-project.org/doku.php?id=adding_mail_domains

Pokud v tomto seznamu nemáte doménu zavedenou, eFa4 je odmítne !!!

No a toto je snad vše pro základní zprovoznění eFa 4 OpenSource Spamfilter. Zbývá poslední věc a tu proveďte až po několikeré kontrole zda správně směrujete tzv. TRANSPORT SETTINGS. Posledním krokem je změna DNS záznamu jednotlivých domén, které jste si přidaly do Transport setting.

Doposud máte směrované MX záznamy na doménách přímo na venkovní IP adresu mailserveru. Tzn., že jakýkoliv dotaz na MX záznam na doméně, Vás směruje přímo na mailserver. Změnou MX záznamu na venkovní IP eFa4 přesměrujete tok všech emailů na eFa filter.

eFa4 naslouchá na definovaných portech (25, 465 .. aj.) pokud přijme email, zpracuje ho a pošle po vnitřní síti na patřičný mailserver. 

Po změně DNS si počkáte pár hodin a ejhle, pošta do mailserveru již chodí přes eFa4.

Doufám, že Vám tento zkrácený postup instalace a zprovoznění alespoň trochu pomohl.

Tento projekt, jako všechny ostatní i profi řešení, není bez chyb, ale po několikadenním hromadném learningu jsme omezili průchod SPAMu na minimum (pod 0,1%) ke spokojenosti našich uživatelů. Pokud se jako admin dokážete ze začátku cca 20min. denně věnovat základnímu nastavení HAM a SPAM pravidel, které by se eFa4 učila několik dní cca do týdne budete eFa4 vychvalovat jako já. Vyzkoušel jsem několik řešení a toto je přesně co jsem hledal několik let.

Ještě jedno důležité nastavení !! Na mailserveru jsem musel vypnout hodnocení AntiSpamové kontroly pro SPF, HELO, DKIM a kontrolu MX záznamů. Tuto kontrolu standardně již provádí a hodnotí eFa4. Pokud jsem nechal povolené, mailserver vždy vrátil eFa4 hodnocení a eFa4 email zablokovala a odesílateli vrátila hlášku o odmítnutí emailu. Prostě IT administrátoři firem prdí na vlastní mailservery a nejsou schopni řádně nastavit alespoň SPF a DKIM. To jenom pro info.

Vím, že hodně z celého systému jsem ani nevyužil a proto se mě moc líbí, že lze systému nakonfigurovat jak jsem potřeboval jen s některými funkcemi.

Pavel Kirchner, CEO