[Postfixbuch-users] restrictions

Robert Felber r.felber at ek-muc.de
Fr Okt 28 22:19:19 CEST 2005


On Fri, Oct 28, 2005 at 09:16:16PM +0200, Klaus Schuehler wrote:
> Hallo,
> Oct 28 16:32:54 srv1 postfix/smtpd[16480]: connect from unknown[61.49.190.163]
> Oct 28 16:33:03 srv1 postfix/qmgr[24130]: 7D068BAD2177: 
> from=<BUFFHKGOG at hotmail.com>, size=856, nrcpt=2 (queue active)
[...]
> smtpd_recipient_restrictions = permit_sasl_authenticated,
>                                reject_non_fqdn_sender,
>                                permit_mynetworks,
>                                reject_unauth_destination,
>                                reject_non_fqdn_hostname,
>                                reject_unauth_destination,
>                                reject_unauth_pipelining,
>                                reject_non_fqdn_recipient,
>                                reject_unknown_sender_domain,
>                                reject_invalid_hostname,
>                                reject_rbl_client        cbl.abuseat.org,
>                                reject_rbl_client        rhsbl.sorbs.net,
>                                reject_rbl_client        sbl.spamhaus.org,
>                                reject_rbl_client        relays.ordb.org,
>                                reject_rbl_client        opm.blitzed.org,
>                                reject_rbl_client        bl.spamcop.net
> 
> Merkwürdig ist nur das bei den meisten Mails ein reject richtigerweise macht.
> Nur bei manchen Mails passiert das.

Der client ist halt auf keiner RBL gewesen zu diesem Zeitpunkt. Die Chancen
dass, ein Client auf ner RBL landet kann man mit greylisting erhoehen. Aller-
dings sollte man drauf achten, dass man nicht alles greylisted - richtige MTAs
sollten zb nicht greylisted werden - nur gibts dazu kaum Anleitungen, bzw ist 
mir keine ueber den Weg gelaufen - und, Greylisting ist keine eierlegende 
Wollmilchsau, genausowenig wie RBLs (mir tut zb jeder groessere ISP leid, der
riesen Queues braucht da die Masse der deferals doch recht hoch sein duerfte,
infolgedessen liefern einige ISP bei deferals einfach nicht nochmal aus, und 
du darfst dann diese ISP whitelisten (postgrey liefert so eine whitelist mit),
gibt aber noch mehr zum Thema greylisting, einfach mal nach den pros und cons
googlen).

Ansonsten hast du keine restriction die unknown clients verhindert. Wovon i.d.R
abzuraten ist.

Kurz, damit leben, bzw amavisd-new/dspam benutzen. Gaebe noch den 
policyd-weight, der versucht eben solche "Faelschungen" am Eingang abzulehnen, 
der ist aber beta und eher fuer Tueftler, die merken, wenn das Ding Mist baut 
und ggf. anpassen, abschalten was auch immer koennen - eine Wollmilchsau ist der
aber auch noch^W nicht.


-- 
    Robert Felber (PGP: 896CF30B)
    Munich, Germany



Mehr Informationen über die Mailingliste Postfixbuch-users