[Postfixbuch-users] RelayServer, Postfix vor Exchange, Imap und Altlasten wie korregieren?

Sandy Drobic postfixbuch-users at drobic.de
Mi Jun 3 17:51:10 CEST 2009


Jan Scholten wrote:
>>> bzw. brauche ich bei so einem Setup noch mehr Einstellungen?
>>>
>> Du KANNST noch jede Menge mehr aber die Frage ist ob das Mailsystem das
>> Darf oder ob evtl. auch gewünschte Mails dadurch abgelehnt werden würden. 
> 
> Das darf ich nicht, ich hätte auch die bounces nicht anpacken dürfen (Cheffe sprach), wenn nicht Spamhaus gekommen wäre.

Ah, du hast also ein Chef-Problem. Mit anderen Worten, du brauchst Argumente,
warum das Ablehnen von Mails an ungültige Empfänger die richtige Lösung ist
und den Verlust von Mails VERHINDERT.

Hier die Antwort:

Im Augenblick ist es so, dass euer Eingangsserver alle Mails der Domain
entgegen nimmt und an die internen Server weiterleitet. Diese nehmen die Mails
an die gültigen Empfänger an oder bouncen die Mails an die ungültigen
Empfänger. So werden zur Zeit die heissgeliebten Bounces erzeugt.

Die Mails an ungültige Empfänger werden also ohnehin nicht angenommen.

Ihr könntest das ändern, indem ihr einen Müllschlucker-Account
(Catch-all-Account) einrichtet, an den alle Mails an nicht existierende
Empfänger lenkt, in Postfix-Speak ist das der luser_relay.
Und wie der Name schon besagt, ist das das Grab für den ganzen Schrott.
Theoretisch sind alle Mails dort vorhanden. Dummerweise gehen die wenigen
erwünschten Mails unter in den Fluten von Spam und Werbemüll, so dass diese
Mails ebenfalls effektiv verloren sind.

Du hattest von über eine Million Mails pro Tag geschrieben, bei diesem Volumen
 wäre eine ganze Abteilung von Mitarbeitern mit nichts anderem beschäftigt als
dem Durchwühlen dieses Müllschlucker-Accounts, und die Fehlerquote dabei ist
sehr hoch. Man übersieht halt sehr schnell die eine erwünschte Mail, wenn sie
in einem Berg von 2000 Schrottmails steckt. .-/

Die Frage ist also nicht, ob ihr die Mails an ungültige Empfänger abweist,
sondern nur, an welchem Punkt in eurer Mailkette ihr sie abweist. Hier stellt
sich die Frage der Verantwortung für die Mails. Verantwortlich für die Mail
ist immer derjenige, der die Mail angenommen hat.

Deshalb muss eine Mail an ungültige Empfänger abgewiesen werden, bevor sie
angenommen wird. Über die Analyse des Logs kann man immer nachvollziehen,
welche Mails abgewiesen wurden.

Einige Postmaster hier haben auch Scripte laufen, welche Berichte erstellen,
welche Mails abgewiesen wurden, die täglich erstellt werden. Das kann man
besorgten Mitarbeitern/Chefs problemlos einrichten, damit sie sehen können,
dass alles seine Ordnung hat.

>>    reject_unknown_sender_domain,
>>    reject_unknown_recipient_domain,
>>   reject_non_fqdn_sender,
>>    reject_non_fqdn_recipient,
>>   reject_non_fqdn_helo_hostname,
> 
> Wenn auch nur eine legale Mail angewiesen wird geht es mir an den Kragen, die non_fqdns traue ich mich nicht.. das andere besprech ich mal.

Ich denke, dass zuerst einmal die Grundlagen geklärt werden sollten. Dazu
gehört offenbar die Klärung der Frage "Was ist eigentlich eine legale Mail?".

In deiner Situation ist die Klärung der Policy-Fragen wohl die erste
Priorität. Wie die Umsetzung der Policy später in technischen Details
aussieht, kann man später klären.

Die kleinste Anforderung an eine legale Mail ist, dass sie einen gültigen
Empfänger hat. Nur dadurch wird sie zustellbar.

Wenn selbst diese Anforderung nicht von der Geschäftsleitung anerkannt wird,
gibt es keine Grundlage für irgendeinen Konsens mehr und man kann nur noch die
Verantwortung auf andere schieben. Technisch realisiert man dies durch den
Catch-all. Damit wird der schwarze Peter dem zugeschoben, der diesen Account
überwachen muss. Als Admin bist das dann nicht du, sondern wohl eine
Sekretärin des Chefs.

In diesem Fall würde ich übrigens auch die Verantwortung für das Mailsystem
schnellstmöglich delegieren und empfehlen, dies an einen Anbieter wie
MessageLabs zu outsourcen. Der Rolle des Postmasters ist dann nämlich nichts
anderes als der Sündenbock für alle Fälle.

Danach kann man langsam weitermachen und sehen, welche Anforderungen noch an
eine legale Mail gestellt werden sollten. Eine grundlegende Anforderung ist
etwa, dass eine gültige Absenderadresse existiert, so dass man auf die Mail
auch antworten kann.

Danach kommt es auf die Priorität an, wie wichtig die Abwehr von Spam/Viren
ist im Vergleich zum Empfang von erwünschten Mails bzw. dem Verhindern des
Abweisens von eigentlich erwünschten Mails. Im Prinzip ist liegt mir
eigentlich die Haltung, dass der Empfang der erwünschten Mails die oberste
Priorität ist, nur muss man halt auch etwas die Realität im Auge behalten.

>> reject_unverified_recipient 
> Auch das ist mir zu kritisch, will nicht irgendwann wegen exessiven Probings geblockt werden. (was ja schon vorkam, oder?
> 
> Nicht falsch verstehen, meine eigene Kiste hat deutlich mehr AntiSpam Features drinnen, aber da hängt weder viel Geld, noch mein Arbeitsplatz dran. Beides sollte behalten werden ;-) Wenn die User dann ein oder 100 Spams mehr aussortieren müßen ist es ok, solange die bounces aufhören (weniger werden)
> 
> Mir geht es primär darum, ob relay_recipient_maps und reject_unlisted_recipients bei so einem Setup ausreichen, oder ob es weiteres gibt "Wenn Du transport maps hast brauchst Du noch XYZ" Ich hab privat nur nen postfix mit lokalem IMAP Server und mache weder relay noch transport.. daher kenn ich mich da nicht weiter aus.

Nein, für Frage, ob eine Mail angenommen werden soll oder nicht, sind allein
die Einstellungen, für welche Domains Postfix sich zuständig fühlt
(siehe:http://www.postfix.org/ADDRESS_CLASS_README.html )
und welche Empfänger in diesen Domains gültig sind (recipient_maps).

Die Transport_maps sind nur dafür gedacht, den Transport feiner zu gliedern
als es die vom RFC vorgesehene MX/A-Auflösung zur Verfügung stellt.

Ich hoffe, dass ich nicht zuviel Überflüssiges geschrieben habe.




Mehr Informationen über die Mailingliste Postfixbuch-users