[Postfixbuch-users] body/header Checks

Sandy Drobic postfixbuch-users at japantest.homelinux.com
Fr Aug 18 14:06:16 CEST 2006


Sebastian Deiszner wrote:
> 
>> Am sinnvollsten ist es, den Krempel direkt vor DATA abzuwürgen. Das schont
>> die Serverreserven und die Nerven.
>>
>> Was sind deine Prioritäten, in welcher Reihenfolge?
>> - Spamreduzierung
>> - keine False Positives
>>
>> Wie sieht deine Konfig im Augenblick aus (postconf -n)?
> 
> Spamreduzierung (was schon ganz gut über SA funktioniert) - wenn ne Mail abgelehnt wird - dumm aber lieber 1 Mail von 1000 abgelehnt 
> und dafür massiv weniger Spam.

Okay, mit der Prämisse können wir in die Vollen langen. (^-^)
Ich ergänze mal die Einstellungen, die ich empfehle.


> alias_database = hash:/etc/aliases
> alias_maps = hash:/etc/postfix/aliases
> append_dot_mydomain = no
> biff = no
> body_checks = pcre:/etc/postfix/body_checks
> broken_sasl_auth_clients = yes
> config_directory = /etc/postfix
> header_checks = pcre:/etc/postfix/header_checks
> home_mailbox = Maildir/
> inet_interfaces = all
> mailbox_command =
> mailbox_size_limit = 0
> mime_header_checks = regexp:/etc/postfix/mime_header_checks
> mydestination = $myhostname, $mydomain, localhost.localdomain, localhost.localdomain, localhost
> mydomain = mail.deiszner.de
> myhostname = deiszner.de
> mynetworks = 127.0.0.0/8
> recipient_delimiter = +
> relayhost = mail.infocity.de
> smtp_sasl_auth_enable = yes
> smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
> smtp_sasl_security_options = noanonymous
smtpd_helo_required = yes
smtpd_hard_error_limit = 6
# Wenn nur wenige User auf dem Server sind, auch auf 4 reduzieren,
# das begrenzt die Zahl der Fehler, welche der sendende Client
# sich in einer Session erlauben kann. Dazu zählen ungültige Empfänger,
# falsches Pipelining etc.
> smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
> smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_unauth_destination

smtpd_recipient_restrictions =
	permit_sasl_authenticated,
	permit_mynetworks,
	reject_unauth_destination
	check_client_access hash:/etc/postfix/client_whitelist
# Weise ungültige HELO-Hostnamen ab:
# Postfix 2.3: reject_invalid_helo_hostname
	reject_invalid_hostname,
# Weise HELO-Namen ohne Domain ab, wie "friend", "localhost"
# "SRV1" etc.
# Postfix 2.3: reject_non_fqdn_helo_hostname
	reject_non_fqdn_hostname,
	reject_unlisted_recipient,
	check_helo_access hash:/etc/postfix/check_helo_access
# Diese Blacklists gelten als konservativ und sollten keine
# falschen Rejects erzeugen:
	reject_rbl_client relays.ordb.org,
	reject_rbl_client list.dsbl.org,
	reject_rbl_client sbl-xbl.spamhaus.org,

> smtpd_sasl_auth_enable = yes
> smtpd_sasl_security_options = noanonymous
> syslog_facility = local4
> 
> 

/etc/postfix/check_helo_access:
# reject all external hosts that HELO with my domain or ip
your.domain.com         554      You are not your.domain.com!
10.20.30.40             554      You do not have my IP!

/etc/postfix/client_whitelist
# setze hier die Server rein, die von den Restrictions abgelehnt werden,
# von denen du Mails empfangen möchtest.
# beobachte dein Log auf solche Meldungen.
# Empfehlung: pflogsumm täglich zumailen lassen.

Damit sollte deine Rejectrate bei etwa 80-90% liegen. Am Rest kann man 
dann mit Ruhe feilen. Wenn du viele Windowsserver als einliefernde Clients 
hast, dann solltest du die Whitelist entsprechend pflegen oder die checks 
mit warn_if_reject nur auf Warnen stellen, die Mails gehen dann durch.
Beispiel:
warn_if_reject reject_non_fqdn_hostname.

Sandy




Mehr Informationen über die Mailingliste Postfixbuch-users