Подробный гайд по настройке блэк-листов в hMailServer
Важно: Информация актуальна для версии hMailServer 5.6.x. Перед внесением изменений сделайте резервную копию конфигурации.
Оглавление
- Типы блэк-листов в hMailServer
- Настройка DNSBL (RBL)
- Настройка популярных списков
- Локальные блэк-листы и правила
- SURBL для проверки ссылок
- Дополнительные меры защиты
- Тестирование и отладка
- Частые проблемы и решения
1. Типы блэк-листов в hMailServer
hMailServer поддерживает несколько уровней защиты от спама:
| Тип | Описание | Где настраивается |
|---|---|---|
| DNSBL / RBL | Проверка IP-адреса отправителя в публичных базах спамеров | Settings → Anti-spam → DNS blacklists |
| SURBL | Проверка доменов в ссылках внутри тела письма | Settings → Anti-spam → SURBL servers |
| Локальный блэк-лист | Ручное добавление адресов/доменов через правила | Settings → Anti-spam → White listing (инверсия) |
| Auto-ban | Автоматическая блокировка при подборе паролей | Settings → Advanced → Auto-ban |
| IP Ranges | Контроль доступа по диапазонам IP | Settings → Advanced → IP Ranges |
2. Настройка DNSBL (RBL) — пошагово
Шаг 1: Откройте настройки антиспама
hMailServer Administrator → Settings → Anti-spam → DNS blacklists
Шаг 2: Добавьте новый список
Нажмите Add и заполните поля:
| Поле | Значение | Примечание |
|---|---|---|
| DNS host | zen.spamhaus.org |
Основной комбинированный список Spamhaus |
| Expected result | 127.0.0.* |
Маска для любых кодов возврата из списка |
| Rejection message | Rejected by Spamhaus ZEN |
Сообщение, которое увидит отправитель |
| Score | 5 |
Баллы за срабатывание (рекомендуется 3-5) |
Шаг 3: Настройте пороги срабатывания
Во вкладке General:
- Spam mark threshold:
5— письмо помечается как спам при наборе 5+ баллов - Spam delete threshold:
20— письмо удаляется безвозвратно при 20+ баллах
Важно: Не ставьте порог удаления ниже 10 — высок риск ложных срабатываний.
3. Рекомендуемые DNSBL-списки
Добавьте следующие списки для максимальной эффективности:
zen.spamhaus.org → Expected: 127.0.0.* → Score: 5
bl.spamcop.net → Expected: 127.0.0.* → Score: 3
b.barracudacentral.org → Expected: 127.0.0.2 → Score: 4 (требуется регистрация)
dnsbl.sorbs.net → Expected: 127.0.0.* → Score: 2
Как интерпретировать коды возврата (на примере Spamhaus):
127.0.0.2 — Spam in email (SBL)
127.0.0.3 — Exploits, malware (CSS)
127.0.0.4 — Unauthenticated SMTP (XBL)
127.0.0.5-7 — Policy blocks (PBL)
127.0.0.10-11 — DBL domain blocks
Совет: Используйте маску 127.0.0.*, чтобы ловить все типы блокировок.
4. Локальный блэк-лист через правила
hMailServer не имеет отдельной таблицы hm_blacklist, но вы можете создать аналог через правила:
Создание правила блокировки по адресу:
Settings → Rules → Add Rule
| Параметр | Значение |
|---|---|
| Rule name | Block spam@example.com |
| Criteria | From → Equals → spam@example.com |
| Actions | Delete email ИЛИ Move to folder "Spam" |
Блокировка по домену:
Criteria:
From → Contains → @bad-domain.com
Actions:
Delete email
(опционально) Notify sender with custom message
Важно:
Правила применяются после антиспам-проверок. Для приоритетной блокировки используйте IP Ranges.
5. Настройка SURBL (проверка ссылок)
SURBL проверяет домены в ссылках письма, а не только заголовки.
Настройка:
Settings → Anti-spam → SURBL servers → Add
| Поле | Значение |
|---|---|
| DNS host | multi.surbl.org |
| Expected result | 127.0.0.* |
| Rejection message | Message contains links to blocked domains |
| Score | 5 |
Рекомендуемые SURBL-серверы:
multi.surbl.org — основной комбинированный список
spam.dnsbl.sorbs.net — дополнительный
Внимание:
Некоторые SURBL-сервисы требуют регистрации или имеют лимиты запросов. Всегда читайте условия использования.
6. Дополнительные меры защиты
SPF и DKIM проверки
Включите в Settings → Anti-spam → Spam tests:
Use SPF → Score: 5 (при жестком отказе)
Check HELO hostname → Score: 3
Check sender MX → Score: 5
Verify DKIM signature → Score: 5
Greylisting (с осторожностью)
Settings → Anti-spam → Greylisting
- Временно отклоняет письма от неизвестных отправителей
- Может задерживать легитимную почту на 15-60 минут
- Рекомендуется добавлять крупные почтовые сервисы (gmail.com, mail.ru) в Whitelist
IP Ranges для локального контроля
Settings → Advanced → IP Ranges
Создайте диапазон с высоким приоритетом (например, 50) для блокировки конкретных адресов:
Name: Manual Block List
Priority: 50
Lower IP / Upper IP: 192.168.1.100 / 192.168.1.100
[✓] Require SMTP authentication
[✓] Anti-spam enabled
Auto-ban от брутфорса
Settings → Advanced → Auto-ban
[✓] Enabled
Max invalid logon attempts: 3
Minutes before reset: 30
Minutes to auto-ban: 1440 (24 часа)
7. Тестирование конфигурации
Проверка DNSBL вручную:
# Проверка, работает ли запрос к Spamhaus:
nslookup -type=A 2.3.0.127.zen.spamhaus.org
# Если список активен — вернётся 127.0.0.2 или аналог
# Если нет — "Non-existent domain"
Тест отправки письма:
- Отправьте тестовое письмо с известного спам-сервиса (например, GlockApps)
- Проверьте логи:
Status → Logging → Start - Убедитесь, что письмо получило ожидаемый спам-скор
Просмотр спам-скор в заголовках:
Включите опции:
[✓] Add x-hMailServer-Spam
[✓] Add x-hMailServer-Reason
Тогда в заголовках письма появится:
X-hMailServer-Spam: Yes, score=7.2
X-hMailServer-Reason: SPF fail (+5), DNSBL zen.spamhaus.org (+5)
8. Частые проблемы и решения
| Проблема | Причина | Решение |
|---|---|---|
| DNSBL не работает | Блокировка публичных резолверов Spamhaus | Используйте локальный DNS-сервер или приватный резолвер |
| Ложные срабатывания | Слишком низкий порог или агрессивные списки | Увеличьте Spam mark threshold, проверьте логи, добавьте отправителя в White list |
| Письма не доставляются | Отправитель в блэк-листе | Проверьте его IP через MXToolbox, запросите delisting |
| Высокая нагрузка на сервер | Много внешних запросов к DNSBL | Включите кэширование: Settings → Advanced → Performance → Cache |
| RBL возвращает RCode 4 | Ошибка DNS-запроса | Проверьте настройки DNS-сервера, отключите negative caching в Windows DNS |
Готовый чеклист настройки
[ ] 1. Настроен zen.spamhaus.org с маской 127.0.0.*
[ ] 2. Добавлен bl.spamcop.net как резервный список
[ ] 3. Порог спам-марки: 5, удаления: 20
[ ] 4. Включены проверки SPF (+5) и MX (+5)
[ ] 5. Настроен SURBL multi.surbl.org
[ ] 6. Включено логирование x-hMailServer-* заголовков
[ ] 7. Настроен Auto-ban от брутфорса
[ ] 8. Проверена работа через nslookup
[ ] 9. Созданы локальные правила для известных спамеров
[ ] 10. Крупные почтовые сервисы добавлены в Greylist whitelist
Полезные ссылки:
- Проверка блэк-листов: MXToolbox - mxtoolbox.com/blacklists.aspx
- Spamhaus ZEN: spamhaus.org/zen - spamhaus.org/zen/
Мы делимся этой технической информацией, чтобы помочь вам в решении задач — используйте её с пониманием. Статья носит рекомендательный характер, поэтому, пожалуйста, применяйте описанные методы осмотрительно.