[Postfixbuch-users] Server wird mit ungültigen Adressen bombardiert - Verify-Cache läuft voll

Ralf Hildebrandt Ralf.Hildebrandt at charite.de
So Sep 12 22:45:48 CEST 2010 

* lars <lars at brainlift.de>:

> smtpd_recipient_restrictions = 
> check_policy_service inet:127.0.0.1:12525        
> check_policy_service inet:127.0.0.1:60000	
> reject_non_fqdn_sender,	
> reject_non_fqdn_recipient,	
> reject_unknown_sender_domain,	
> warn_if_reject reject_unverified_sender 	
> reject_unknown_recipient_domain,		
> reject_unverified_recipient,	
> reject_unauth_destination,	
> permit_mynetworks,	
> reject_unlisted_recipient	permit_sasl,	
> permit_sasl_authenticated,	
> reject_unauthenticated_sender_login_mismatch	
> permit

Die Reihenfolge von reject_unauth_destination, permit_mynetworks, ist
komisch

Ebenso: Was ist permit_sasl?

Was sind die zwei check_policy_service am Anfang?

Ich würde eher machen:
smtpd_recipient_restrictions =
   reject_non_fqdn_sender,
   reject_non_fqdn_recipient,
   reject_unknown_sender_domain,
   warn_if_reject reject_unverified_sender
   reject_unknown_recipient_domain,
   permit_mynetworks,
   permit_sasl_authenticated,
   reject_unauthenticated_sender_login_mismatch
   reject_unauth_destination,
   reject_unlisted_recipient
   reject_rbl_client zen.spamhaus.org
   check_policy_service inet:127.0.0.1:12525        
   check_policy_service inet:127.0.0.1:60000	
   

> nein
> 
> > Warum benutzt du
> > reject_unverified_recipient?
> 
> empfiehlt Wietse so in der Doku

Sicher nicht. Du hast ja schon reject_unlisted_recipient

reject_unverified_recipient benutzt man eigentlich nur um bei einem
nachgelagerten System zu prüfen ob dieses den Empfänger annehmen würde. 

Aber so wie du das machst füllst du dir deine verification database
mit den Adressen, die deine User anschreiben und falschen Adressen bei
dir.

> danke für die tipps! aber das haben wir gerde ausprobiert, keine
> änderung ... das spam-bombardement werden wir so auch kaum abstellen
> können; unsgeht es im moment schlicht darum, den mailverkehr wieder zum
> funktionieren zu bekommen ...

Also spontan würde ich entweder ein:
reject_rbl_client zen.spamhaus.org
recht weit nach vorne machen

-- 
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  ralf.hildebrandt at charite.de | http://www.charite.de

Mehr Informationen über die Mailingliste Postfixbuch-users