Instalace a konfigurace zařízení pro filtrování e-mailů (EFA) v roce 2026

Instalace a konfigurace zařízení Email Filter Appliance (EFA), nasaďte obraz/ISO EFA na virtuální počítač kompatibilní s Linuxem, přiřaďte statickou veřejnou IP adresu a rDNS, spusťte průvodce nastavením, přidejte akceptované domény, nastavte interní poštovní server jako relé/cíl, aktualizujte zásady (SpamAssassin/ClamAV) a publikujte správné DNS (MX, SPF, DKIM, DMARC) pro produkční tok pošty.

Tato podrobná příručka ukazuje, jak nainstalovat a nakonfigurovat Email Filter Appliance (EFA) v roce 2026, od plánování a nasazení až po... DNS, směrování, zabezpečení a ladění zásad. Ať už nahrazujete stárnoucí bránu nebo posilujete nový poštovní zásobník, tento tutoriál promění EFA v osvědčený open source filtr spamu a virů, připravený k provozu.

Co je EFA a jak funguje?

Zařízení pro filtrování e-mailů (EFA) je open source e-mailová bezpečnostní brána postavená na Postfixu (MTA) s filtrovacími enginy jako MailScanner, SpamAssassin a ClamAV a webovým rozhraním (MailWatch) pro karanténu a reporty.

Nachází se mezi internetem a vaším poštovním serverem (Microsoft Exchange, M365 hybrid, Zimbra, Postfix/Dovecot) a skenuje příchozí i odchozí zprávy, zda neobsahují spam, phishing a malware.

• Příchozí: Internet → EFA (filtr) → Váš poštovní server
• Odchozí: Váš poštovní server → EFA (zásady) → Internet/Smart hostitel
• Klíčové vlastnosti: Kontroly RBL/URIBL, SPF/DKIM/DMARC, antivirus, karanténa, greylisting, omezení rychlosti

Předpoklady a plánování (připraveno pro rok 2026)

Před nasazením EFA si naplánujte síť, DNS, životní cyklus operačního systému a směrování pošty. Tím se zabrání smyčkám, problémům s doručitelností a slabému zabezpečení.

Požadavky na hardware/virtuální počítač

• 2–4 vCPU4–8 GB RAM pro 500–2 000 uživatelů (škálování podle zátěže)
• Úložiště SSD 60–120 GB (v závislosti na objemu uchovávání protokolů/karantény)
• 1x síťová karta, statická IPv4; IPv6 pokud to vaše poštovní prostředí podporuje

Síť a DNS

• Statická veřejná IP adresa s reverzní IP adresou DNS mapování (PTR) na platný název hostitele (např. mailgw.example.com)
• Firewall: povolit TCP 25 (SMTP), 465/587 (pokud poskytujete zabezpečené odesílání), 80/443 (ACME/Let's Encrypt a UI)
• Synchronizace času (NTP) a přesné časové pásmo pro platnost DKIM/DMARC

Operační systém a obraz

Stáhněte si nejnovější stabilní sestavení/ISO EFA z oficiálních stránek projektu nebo zrcadla. Ověřte kontrolní součty a přečtěte si aktuální poznámky k verzi. Pokud je sestavení zaměřeno na starší bázi Enterprise Linuxu, umístěte virtuální počítač za firewall, nainstalujte všechny bezpečnostní aktualizace a naplánujte budoucí migraci, až projekt vydá novější bázi.

Návrh toku pošty

• Příchozí: Internet → EFA → Interní poštovní server(y)
• Odchozí: Interní poštovní server(y) → EFA → Internet nebo inteligentní hostitel poskytovatele internetových služeb
• Ověření příjemce: LDAP/AD nebo lokální seznam pro odmítnutí neznámých uživatelů v čase SMTP

Krok za krokem instalace

1) Příprava virtuálního počítače

• Vytvoření nového virtuálního počítače na Proxmoxu, VMware, Hyper-V nebo KVM
• Připojte soubor EFA ISO/OVA a virtuální disk o velikosti 60–120 GB
• Přiřadit statickou IP adresu, bránu, DNS resolvery; rezervujte si IP adresu ve vašem routeru/DHCP

2) Nainstalujte základnu OS/EFA

Spusťte počítač z ISO souboru a postupujte podle pokynů instalačního programu. Použijte silné heslo root/admin, nastavte správné časové pásmo a nakonfigurujte rozdělení disku s prostorem pro protokoly a karanténu. Po instalaci restartujte počítač a přihlaste se přes konzoli nebo SSH.

# Set a fully qualified hostname
hostnamectl set-hostname mailgw.example.com

# Configure static IP (example; adapt to your distro tooling)
nmcli con mod eth0 ipv4.addresses 203.0.113.25/29
nmcli con mod eth0 ipv4.gateway 203.0.113.29
nmcli con mod eth0 ipv4.dns "1.1.1.1 9.9.9.9"
nmcli con mod eth0 ipv4.method manual
nmcli con up eth0

# Update packages
yum update -y || dnf upgrade -y

3) Spusťte EFA Bootstrap/Průvodce

• Přijměte licenci a inicializujte požadované komponenty (Postfix, MailScanner, SpamAssassin, ClamAV, MailWatch)
• Nastavení přihlašovacích údajů správce pro webové uživatelské rozhraní
• Zadejte název hostitele systému a primární doménu
• Povolit automatické aktualizace a signatury pro antivirový/antispamový program

4) Ověření služeb

systemctl status postfix
systemctl status mailscanner
systemctl status clamd
systemctl status httpd  # or nginx, depending on build
spamassassin -V         # confirm SA version

Počáteční konfigurace webového uživatelského rozhraní

Přejděte na https://mailgw.example.com/ (nebo na IP adresu) a přihlaste se pomocí dříve vytvořeného administrátorského účtu. Pro dokončení základních zásad přejděte na řídicí panel.

• Přidat akceptované/lokální domény (example.com, example.org)
• Nastavit cílový poštovní server (servery) pro příchozí směrování (např. exchange.internal:25)
• Povolit karanténu a oznámení; nakonfigurovat plány prohlížení
• Vyberte a povolte DNSBL/URIBLs opatrně (vyhněte se příliš agresivním seznamům)
• Nastavení maximální velikosti zprávy a zásad pro přílohy

Publikovat DNSMX, SPF, DKIM, DMARC a rDNS

Opravit DNS Není doručitelné. Nasměrujte MX na EFA, ověřte identitu odesílatele pomocí SPF/DKIM a vynuťte zásady DMARC.

1) Záznam MX

; In your public DNS zone
@     3600  IN  MX   10 mailgw.example.com.
mailgw 3600  IN  A    203.0.113.25

2) Záznam SPF

; Authorize E.F.A's IP and any other legitimate senders
@ 3600 IN TXT "v=spf1 ip4:203.0.113.25 include:_spf.your-saas-mailer.com -all"

3) Klíč DKIM a DNS

Vygenerujte pár klíčů DKIM na EFA nebo na vašem downstream mail serveru (soukromý klíč ponechte u podepisujícího). Publikujte veřejný klíč v DNS:

; Example selector "m365" or "efa"
m365._domainkey 3600 IN TXT "v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0B...IDAQAB"

4) Zásady DMARC

_dmarc 3600 IN TXT "v=DMARC1; p=quarantine; rua=mailto:dmarc-aggregate@example.com; ruf=mailto:dmarc-forensic@example.com; adkim=s; aspf=s; pct=100"

5) Zpětný chod DNS (PTR)

Požádejte svého poskytovatele internetových služeb/cloudových služeb o nastavení PTR 203.0.113.25 na mailgw.example.com. HELO/EHLO musí odpovídat potvrzenému dopřednému a zpětnému protokolu. DNS pro nejlepší pověst.

Konfigurace příchozího a odchozího směrování

Příchozí (Internet → EFA → Poštovní server)

• Nastavte si interní poštovní server jako cíl/relay v EFA (host:port)
• Povolit ověřování příjemců (VRFY/RCPT) přes LDAP/AD pro odmítnutí neplatných uživatelů v čase SMTP
• Otestujte odesláním zprávy z externí poštovní schránky a ověřte protokoly/karanténu

Odchozí (poštovní server → EFA → internet)

• Nasměrujte inteligentního hostitele vašeho interního poštovního serveru na EFA (mailgw.example.com:25 nebo 587)
• V EFA nastavte povolené IP adresy odesílatelů nebo SMTP AUTH pro odchozí poštu.
• Pokud váš poskytovatel internetových služeb vyžaduje relé, nakonfigurujte EFA tak, aby směroval odchozí data přes daného inteligentního hostitele s přihlašovacími údaji.

# Example Postfix outbound on your internal mail server
relayhost = [mailgw.example.com]:25
smtp_tls_security_level = may

Povolit ověření příjemce adresáře/LDAP

Ověřování příjemců pomocí AD/LDAP blokuje neplatné adresy včas, čímž snižuje spam a šetří peníze. CPU.

• Konfigurace LDAP serveru (ldaps://dc1.example.com:636)
• Vázané DN: CN=ldap-reader,OU=Service,DC=example,DC=com
• Základní DN: DC=příklad,DC=com
• Filtr: hledat atributy proxyAddress/mail

(|(mail=%s)(proxyAddresses=smtp:%s)(proxyAddresses=SMTP:%s))

Vylaďte zásady pro ochranu před spamem a viry

• Povolit ClamAV s častými aktualizacemi signatur
• Zapněte rozumné RBL/URIBL: Spamhaus (služba pro dotazování dat), Abuse.ch atd.
• Greylisting: užitečné pro malé organizace; vyhodnoťte dopad velkého objemu pošty
• Prahové hodnoty karantény: nastavit nízkou míru falešně pozitivních výsledků; upozorňovat uživatele denními přehledy
• Používejte vlastní pravidla pro zosobnění značky, spustitelné přílohy a jazykové vzory

# /etc/mail/spamassassin/local.cf (example)
required_score 5.0
rewrite_header Subject ***** SPAM *****
report_contact security@example.com
use_bayes 1
bayes_auto_learn 1

# Raise score for executable attachments
header   EXE_ATTACH Content-Type =~ /application\/(x-msdownload|x-exe|x-dosexec)/i
score    EXE_ATTACH 3.5
describe EXE_ATTACH Executable attachment type detected

TLS, certifikáty a zabezpečený SMTP

Používejte platné certifikáty pro SMTP a administrátorské rozhraní, abyste předešli rizikům downgradu a MITM. Pokud je to možné, automatizujte obnovení pomocí Let's Encrypt.

# Install certbot (example; adjust for your distro)
yum install -y certbot || dnf install -y certbot
certbot certonly --standalone -d mailgw.example.com --agree-tos -m admin@example.com --non-interactive

# Postfix TLS settings
postconf -e "smtpd_tls_cert_file=/etc/letsencrypt/live/mailgw.example.com/fullchain.pem"
postconf -e "smtpd_tls_key_file=/etc/letsencrypt/live/mailgw.example.com/privkey.pem"
postconf -e "smtpd_tls_security_level=may"
postconf -e "smtp_tls_security_level=may"
systemctl reload postfix

Volitelně publikujte MTA-STS a TLS-RPT pro vynucení moderního zabezpečení SMTP a získávání reportů.

_smtp._tls 3600 IN TXT "v=TLSRPTv1; rua=mailto:tlsrpt@example.com"

Vysoká dostupnost, zálohování a aktualizace

• HA: Nasaďte dva uzly EFA za TCP balancer or DNS na základě zátěže se stejnými prioritami MX; sdílení zásad prostřednictvím konfigurace management
• Vyhněte se sekundárnímu MX se slabším filtrováním, umožňuje obcházení spamu.
• Zálohování: Konfigurace databáze MailWatch, Postfixu/MailScanneru/SpamAssassinu, klíče DKIM a vlastní pravidla
• Kadence patchů: Aktualizace OS týdenně; podpis/pravidla denně; vydání EFA dle pokynů projektu

Monitorování a protokoly

• Ovládací panel MailWatch: největší odesílatelé, počet odmítnutých, trendy v karanténě
• Systémové protokoly: /var/log/maillog, /var/log/maillog.1, protokoly webového serveru
• upozornění: integrace se Syslogem/SIEM a e-mailovými upozorněními na selhání služeb
• Limity sazeb: Dávejte pozor na napadené účty, které rozesílají spam

tail -f /var/log/maillog | egrep -i "reject|blocked|error|clam|spam"

Odstraňování běžných problémů

• Smyčka pošty: MX ukazuje na EFA, ale EFA se předává zpět na sebe. Opravte cílového hostitele na IP adresu/název hostitele vašeho interního poštovního serveru.
• Nelze odeslat odchozí: Blokováno na portu 25 poskytovatelem internetových služeb/cloudem. Použijte kód 587 pro ověřený chytrý hostitel nebo požádejte o odblokování portu 25.
• DKIM selže: Špatný selektor nebo zastaralý klíč. Znovu vygenerujte a znovu publikujte. DNS; ověřte zarovnání s doménou From.
• Vysoký počet falešně pozitivních výsledků: Nižší skóre SpamAssassinu, přidání důvěryhodných odesílatelů na bílou listinu, ladění RBL, využití školení pro každého uživatele.
• Zpoždění při greylistingu: Zakázat pro VIP domény nebo povolit automatické přidávání na bílou listinu pro důvěryhodné odesílatele.

Kontrolní seznam pro posílení zabezpečení

• omezit SSH na manageIP adresy mentu; pouze ověřování na základě klíče
• Fail2ban nebo ekvivalent na SMTP a webovém rozhraní
• Zakázat nepoužívané služby a výchozí účty
• Nastavte HELO/EHLO na FCrDNS odpovídající název hostitele
• V případě potřeby blokovat známé škodlivé země/sítě
• Po monitorování povolit vynucení DMARC (p=karanténa nebo p=odmítnout)

Spustit EFA na YouStable (Volitelně)

Pokud potřebujete čistou reputaci IP adres, rDNS nastavení a garantované porty, nasaďte EFA na YouStable VPS nebo dedikovaný server. Náš manageFirewall, nepřetržité monitorování 24 hodin denně, 7 dní v týdnu a síť podporovaná SLA vám pomohou udržet vysokou doručitelnost pošty a zároveň se soustředit na zásady, nikoli na instalatérské práce.

Kontrolní seznam pro kompletní validaci

• Příchozí: Dorazil externí testovací e-mail; spam je označen nebo přesunut do karantény.
• Odchozí: Testovací zpráva prošla zarovnáním SPF, DKIM a DMARC.
• DNS: MX/SPF/DKIM/DMARC/PTR ověřeno pomocí MXToolboxu nebo nástrojů s otevřeným zdrojovým kódem
• TLS: Nabízen STARTTLS; moderní šifry; dodáván TLS-RPT
• Ověření příjemce: Neexistující uživatel odmítnut na RCPT TO
• Zprávy: Denní přehledy karantény a statistiky na řídicím panelu viditelné

Nejčastější dotazy