[Postfixbuch-users] postfix restrictions - Bitte um Hilfe

Mi Apr 2 16:46:31 CEST 2008

Wäre also dieser Part OK um alle ordentlichen Mails durchzulassen?

smtpd_client_restrictions =

smtpd_helo_restrictions =

smtpd_sender_restrictions =

smtpd_recipient_restrictions =
        permit_mynetworks,
        reject_unknown_sender_domain,
        reject_non_fqdn_sender,
        reject_non_fqdn_recipient,
        reject_unauth_destination,
        permit_sasl_authenticated,
        reject_unknown_client,
        reject_invalid_hostname,
        reject_unknown_hostname,
        reject_non_fqdn_hostname

smtpd_data_restrictions = reject_unauth_pipelining

Postgrey ist leider nicht möglich, da Mails mit so wenig Verzögerung wie 
es nur irgendwie geht ankommen müssen (ausgedehntes Kommunikationssystem).

Updaten geht leider erst mal nicht, ein komplett neuer Mailserver ist 
aber in Planung.

Da das System rund um die Uhr verwendet wird und absolut keine wichtige 
Mail untergehen darf, wollte ich als ersten Schritt nur die restrictions 
anpassen und dann Logs studieren.

Uwe Driessen schrieb:
> Michael schrieb:
>   
>> Es geht um das leidige Thema Spam. Ich betreue einen Mailserver, der den ganzen Tag
>> nichts macht, außer Spams zu bearbeiten.
>> Ab und zu ist auch mal eine "richtige" Mail dabei ;-)
>>     
>
> *gg 
>
>   
>> Ich verwende postfix in der Version 2.1.5 auf einem System mit SuSE 9.2.
>>     
>
> Updaten, Updaten, Updaten
>
>   
>> Ich kann leider nicht updaten :-(
>>     
>
> Dann stell ein neues System daneben und ziehe darauf um oder schalte das neue System als
> MX davor
>
>   
>> Als content-filter habe ich amavis eingebunden, wobei auch spamassassin aufgerufen wird.
>>     
>
> ok
>
>   
>> Um die Fluten von Spams etwas einzudämmen, und dem System etwas Performance für andere
>> Dinge zu überlassen, möchte ich die Beschränkungen im postfix  optimieren, so dass nicht
>> jede beliebige Mail von amavis/spamassassin bearbeitet werden muß und unnötig Ressourcen
>> verschwendet.
>>     
>
> Das mache ich schon immer so 
>
>   
>> Das Vorhaben ist sehr heikel, da dieser Mailserver sehr viele extrem wichtige Kunden-
>> Accounts hostet, also keine "echten" Mails abgelehnt werden sollten.
>>     
>
> Sollte wirklich nicht passieren
>
>   
>> Die Toleranz will ich aber etwas einschränken und den Standards anpassen, so dass
>> normale Mails weiterhin sicher ankommen.
>>     
>
> Öhm welche Toleranz entweder das ist eine gewünschte Mail dann muß ich dafür sorgen (zur
> Not mit ausnahmen) das die Mails angenommen werden, alles andere wird nicht toleriert. 
>
>   
>> Hier der jetzige Ausschnitt aus der main.cf:
>>
>> smtpd_helo_required     = yes
>> strict_rfc821_envelopes = yes
>> disable_vrfy_command = yes
>>
>> unknown_address_reject_code  = 554
>> unknown_hostname_reject_code = 554
>> unknown_client_reject_code   = 554
>>
>> smtpd_client_restrictions =
>> smtpd_helo_restrictions =
>> smtpd_sender_restrictions =
>> smtpd_recipient_restrictions =
>>         permit_mynetworks,
>>         permit_sasl_authenticated,
>>         reject_unauth_destination
>> smtpd_data_restrictions =
>>
>>
>> Ich möchte nun die restrictions optimieren und evtl. welche von den folgenden einsetzen:
>>     
>
> Das verbiete ich auch eigenen Usern also vor permit_sasl
>   
>>   reject_unknown_sender_domain
>>   reject_non_fqdn_sender
>>   reject_non_fqdn_recipient
>>     
>
>
> Die nachfolgenden  Regeln nur nach Sasl_auth setzen 
>
>   
>>   reject_unknown_client
>>   reject_invalid_hostname
>>   reject_unknown_hostname
>>   reject_non_fqdn_hostname
>>     
>
> Die habe ich alle so im Einsatz 
>
>   
>>   reject_rbl_client domain.tld
>>     
> So was gehört an den Schluss wenn jemand alle anderen checks überlebt hat dann kann ich
> wenn ich das möchte evtl. noch mal die RBL's abfragen. Bei guter vorheriger Prüfung
> bleiben dort in der Regel aber kaum noch welche hängen, kann ich als sparen bzw. gegen
> Policyd-weight austauschen 
>
> Das gehört in die Rubrik
> smtpd_data_restrictions =
>   
>>   reject_unauth_pipelining
>>     
>
> Wie schaut es denn mit Postgrey aus ?
> Policyd-weight und da war noch eins ich meine von Andreas Pothe alles feine Tools die den
> Großteil des Spams vor der Annahme erkennen und abweisen(vereinfacht ausgedrückt) 
>
>   
>> Nun bin ich mir aber extrem unsicher, welche an welcher Stelle und in welcher
>> Reihenfolge Sinn machen und nicht den normalen Email-Verkehr erschweren.
>> Auch weiß ich nicht, welche RBLs ich abfragen sollte, die dies auch in der kommerziellen
>> Form kostenlos zulassen.
>>
>> Ich würde mich riesig freuen, wenn jemand seinen Ausschnitt der restrictions einmal
>> posten könnte, die sicher funktioniert.
>>
>>     
>
> Meine funktioniert sicherlich aber genau für meinen Server hier, manch anderer Mailserver
> dürfte damit aber nicht mehr seine Aufgabe erfüllen.
>
> Logfile studieren, sortieren, auswerten!!!!!
> Woher kommt UBE/UCE
> Wer versendet diesen  UBE/UCE
> Auszüge Posten dann kann man genau für diesen Fall eine Regel nennen. Mit dem einbau der
> obigen Restriktionen sollte aber schon einiges fliegen.
>
> Überprüfe aber deine Logs das nicht ab und an mal eine Gewünschte abgewiesen wird.
>
> Wenn es nicht besser wird noch log posten es gibt noch einen ganzen Sack voll
> Möglichkeiten.
>
>
> Mit freundlichen Grüßen
>
> Drießen
>
>   