[Postfixbuch-users] Fallstudie: Missbrauch des Dienstes durch Spammer
Achim Lammerts
ml-pbu at admin.syntaxys.net
Do Aug 31 14:21:00 CEST 2006
Sandy Drobic schrieb:
> Achim Lammerts wrote:
>
>> Sandy Drobic schrieb:
>>
>>
>>> Das geht mit Camis policyd, der kann Mailquota verwalten für smtp auth user.
>>>
>>> Sandy
>>>
>>>
>> Hallo Liste,
>> inzwischen habe ich den policyd aufgesetzt, aber der daemon läuft nicht
>> wie erwartet. Ich habe zwar auch schon an die policyd-Liste geschrieben,
>> aber dort ist recht wenig los und man erhält zum Teil falsche Antworten.
>>
>> Laut Beschreibung wird ein SASL-User automatisch mit den in der
>> policyd.conf vorgegebenen Werten in die DB eingefügt - wenn keine
>> SASL-Info vorliegt, wird die Absenderadresse genommen. Pustekuchen. Wenn
>> ich mich anmelde und eine Mail sende, landet garnix in der DB. Im log
>> sehe ich dann, daß die Policy wohl aktiv wurde?!?? Bei den Mails von
>> "aussen" funktioniert es wohl normal, zumindest wird die db geüllt.
>>
>> main.cf:
>> ....
>> smtpd_recipient_restrictions =
>> permit_sasl_authenticated,
>> permit_mynetworks,
>> reject_unauth_destination,
>> reject_non_fqdn_recipient,
>> reject_unknown_recipient_domain,
>> check_policy_service inet:127.0.0.1:10021, <<< I've changed the port in the conf too ;-)
>> permit
>>
>
> Jetzt erzähle mir mal bitte, wie denn check_policy_service ausgewertet
> werden soll, wenn permit_sasl_authenticated schon ganz oben die
> Verarbeitung beendet. (^-^)
>
> Sandy
>
Tja, das scheint wohl so zu sein ;-) Ich hatte das schon vermutet, aber
andere Regeln greifen ja auch auch noch, obwohl eine vorhergehende schon
entschieden hat. Wenn man die Empfehlung aus der policyd-README benutzt
sperrt man sich selbst vom Versand aus:
smtpd_recipient_restrictions =
..
reject_unauth_destination
reject_unlisted_recipient
check_policy_service inet:127.0.0.1:10031
..
Das wirft mir mein ganzes Konzept durcheinander. Setze ich die Policy
VOR "permit_sasl_authenticated", wird jeder Zugriff auf den Mailserver
in die db geschrieben - das ist völlig unnötiger Quatsch. Setze ich
"permit_sasl_authenticated" erst später ein, funktioniert mein Regelwerk
nicht mehr, das darauf beruht. Inzwischen habe ich den SPAM in den
Mailboxen um über 95% reduziert, ohne daß amavis/SA viel zu tun haben.
Nur etwa 20-25% aller angelieferten Mails müssen noch durch diese
Prozesse. Die dadurch eingesparte Serverlast wäre mit policyd obsolet ;-)
Ich will eigentlich nur die authentifizierten User mit einer
vernünftigen Versand-Quota im Griff haben...
Ciao
Achim
--
Mit freundlichem Gruß
Achim Lammerts, SYNTAXYS Systemverwaltung
----------------------------------------------------------------------
Schaeftlarnstrasse 86 · D-81371 Muenchen · http://www.syntaxys.de/
Fon / Fax: +49-(0)89-44429620 / 44489460 · Mobil: +49-(0)177-3719203
----------------------------------------------------------------------
Sichere Email - bitte verschluesseln Sie vertrauliche Informationen!
Meinen PGP-Key finden Sie unter http://service.syntaxys.de/pgp/al.asc
Mehr Informationen über die Mailingliste Postfixbuch-users