[Postfixbuch-users] HELO-Prüfungen

[Michael Hentsch]

Hallo zusammen,

ich möchte verhindern, dass Mails mit gespooften HELO-Angaben von meinem 
postfix angenommen werden.

Ebenfalls möchte ich die HELO-Angaben genauer prüfen.

Dazu habe ich vor, folgendes zu konfigurieren:

smtpd_helo_required = yes
smtpd_delay_reject = yes
...
smtpd_helo_restrictions =
permit_mynetworks,
check_helo_access has:/etc/postfix/helo_access
...
permit

Die Datei /etc/postfix/helo_access soll dann folgendes enthalten:

127.0.0.1 REJECT <kommentar>
localhost REJECT <kommentar>
...

Ich habe vor, in dieser Datei die eigenen IP´s, Rechnername und Domains 
des Mailservers, sowie private und im Internet nicht genutzte 
IP-Adressbereiche mit einem REJECT aufzuführen.

Nun habe ich dazu vier Fragen, worauf ich in meinen Büchern und den 
Dokus keine Antworten gefunden habe:

1. Können in der Lookup-Datei für "check_helo_access" auch IP-Adressen 
und IP-Adressbereiche (z.Bsp. 192.168.0.0/8) aufgeführt werden, oder nur 
Domain-Namen?

2. Wenn ich vor "check_helo_access" die Restriction 
"reject_non_fqdn_helo_hostname" verwende, hat es ja keinen Sinn mehr, 
auf IP´s zu prüfen.
Ist es nun aber sinnvoll, als HELO-Angabe nur FQDN´s zu akzeptieren, 
werden nicht zu oft IP´s von seriösen, aber fehlerhaft konfigurierten 
Mailservern versendet?

3. "reject_invalid_helo_hostname" lehnt Sender mit fehlerhaften 
HELO/EHLO-Syntax ab. Was aber wird dabei geprüft, was nicht schon von 
"reject_non_fqdn_helo_hostname" geprüft wurde?

4. Ich habe gelesen, dass ein "permit" als letzter Parameter einer 
Beschränkungsphase optional ist. Ist es richtig, dass ein "permit" als 
letzter Parameter in der "smtpd_helo_restrictions" nur für diese Phase 
gilt und in der nächsten Phase ("smtpd_sender_restrictions") keine 
Auswirkungen hat, die folgenden Prüfungen also weiterhin zu einem Rject 
führen können?



Vielen Dank im Voraus

Michael Hentsch