[Postfixbuch-users] Fallstudie: Missbrauch des Dienstes durch Spammer

Achim Lammerts ml-pbu at admin.syntaxys.net
Do Aug 31 14:21:00 CEST 2006 

Sandy Drobic schrieb:

> Achim Lammerts wrote:
>   
>> Sandy Drobic schrieb:
>>
>>     
>>> Das geht mit Camis policyd, der kann Mailquota verwalten für smtp auth user.
>>>
>>> Sandy
>>>   
>>>       
>> Hallo Liste,
>> inzwischen habe ich den policyd aufgesetzt, aber der daemon läuft nicht 
>> wie erwartet. Ich habe zwar auch schon an die policyd-Liste geschrieben, 
>> aber dort ist recht wenig los und man erhält zum Teil falsche Antworten.
>>
>> Laut Beschreibung wird ein SASL-User automatisch mit den in der 
>> policyd.conf vorgegebenen Werten in die DB eingefügt - wenn keine 
>> SASL-Info vorliegt, wird die Absenderadresse genommen. Pustekuchen. Wenn 
>> ich mich anmelde und eine Mail sende, landet garnix in der DB. Im log 
>> sehe ich dann, daß die Policy wohl aktiv wurde?!?? Bei den Mails von 
>> "aussen" funktioniert es wohl normal, zumindest wird die db geüllt.
>>
>> main.cf:
>> ....
>> smtpd_recipient_restrictions =
>>     permit_sasl_authenticated,
>>     permit_mynetworks,
>>     reject_unauth_destination,
>>     reject_non_fqdn_recipient,
>>     reject_unknown_recipient_domain,
>>     check_policy_service inet:127.0.0.1:10021, <<< I've changed the port in the conf too  ;-) 
>>     permit
>>     
>
> Jetzt erzähle mir mal bitte, wie denn check_policy_service ausgewertet 
> werden soll, wenn permit_sasl_authenticated schon ganz oben die 
> Verarbeitung beendet. (^-^)
>
> Sandy
>   

Tja, das scheint wohl so zu sein ;-) Ich hatte das schon vermutet, aber 
andere Regeln greifen ja auch auch noch, obwohl eine vorhergehende schon 
entschieden hat. Wenn man die Empfehlung aus der policyd-README benutzt 
sperrt man sich selbst vom Versand aus:

smtpd_recipient_restrictions =
  ..
    reject_unauth_destination
    reject_unlisted_recipient
    check_policy_service inet:127.0.0.1:10031
  ..


Das wirft mir mein ganzes Konzept durcheinander. Setze ich die Policy 
VOR "permit_sasl_authenticated", wird jeder Zugriff auf den Mailserver 
in die db geschrieben - das ist völlig unnötiger Quatsch. Setze ich 
"permit_sasl_authenticated" erst später ein, funktioniert mein Regelwerk 
nicht mehr, das darauf beruht. Inzwischen habe ich den SPAM in den 
Mailboxen um über 95% reduziert, ohne daß amavis/SA viel zu tun haben. 
Nur etwa 20-25% aller angelieferten Mails müssen noch durch diese 
Prozesse. Die dadurch eingesparte Serverlast wäre mit policyd obsolet ;-)


Ich will eigentlich nur die authentifizierten User mit einer 
vernünftigen Versand-Quota im Griff haben...


Ciao

Achim



-- 
Mit freundlichem Gruß
Achim Lammerts, SYNTAXYS Systemverwaltung
----------------------------------------------------------------------
Schaeftlarnstrasse 86 · D-81371 Muenchen · http://www.syntaxys.de/
Fon / Fax: +49-(0)89-44429620 / 44489460 · Mobil: +49-(0)177-3719203
----------------------------------------------------------------------
Sichere Email - bitte verschluesseln Sie vertrauliche Informationen!
Meinen PGP-Key finden Sie unter http://service.syntaxys.de/pgp/al.asc

Mehr Informationen über die Mailingliste Postfixbuch-users