[Postfixbuch-users] Fallstudie: Missbrauch des Dienstes durch Spammer

Sandy Drobic postfixbuch-users at japantest.homelinux.com
Do Aug 31 20:15:38 CEST 2006


Achim Lammerts wrote:

>>> main.cf:
>>> ....
>>> smtpd_recipient_restrictions =
>>>     permit_sasl_authenticated,
>>>     permit_mynetworks,
>>>     reject_unauth_destination,
>>>     reject_non_fqdn_recipient,
>>>     reject_unknown_recipient_domain,
>>>     check_policy_service inet:127.0.0.1:10021, <<< I've changed the port in the conf too  ;-) 
>>>     permit
>>>     
>> Jetzt erzähle mir mal bitte, wie denn check_policy_service ausgewertet 
>> werden soll, wenn permit_sasl_authenticated schon ganz oben die 
>> Verarbeitung beendet. (^-^)
> 
> Tja, das scheint wohl so zu sein ;-) Ich hatte das schon vermutet, aber 
> andere Regeln greifen ja auch auch noch, obwohl eine vorhergehende schon 
> entschieden hat. Wenn man die Empfehlung aus der policyd-README benutzt 
> sperrt man sich selbst vom Versand aus:
> 
> smtpd_recipient_restrictions =
>   ..
>     reject_unauth_destination
>     reject_unlisted_recipient
>     check_policy_service inet:127.0.0.1:10031
>   ..
> 
> Das wirft mir mein ganzes Konzept durcheinander. Setze ich die Policy 
> VOR "permit_sasl_authenticated", wird jeder Zugriff auf den Mailserver 
> in die db geschrieben - das ist völlig unnötiger Quatsch. Setze ich 
> "permit_sasl_authenticated" erst später ein, funktioniert mein Regelwerk 
> nicht mehr, das darauf beruht. Inzwischen habe ich den SPAM in den 
> Mailboxen um über 95% reduziert, ohne daß amavis/SA viel zu tun haben. 
> Nur etwa 20-25% aller angelieferten Mails müssen noch durch diese 
> Prozesse. Die dadurch eingesparte Serverlast wäre mit policyd obsolet ;-)
> 
> Ich will eigentlich nur die authentifizierten User mit einer 
> vernünftigen Versand-Quota im Griff haben...


Ja, das kenne ich zur Genüge, diese "eigentlich wollte ich nur mal...", 
woraus dann in Windeseile Monsterprojekte werden.

Du brachst in jedem Fall zwei unterschiedliche Policyserver. Die 
Datenbank, auf die beide zugreifen, kann ja die gleiche sein, aber die 
Policyserver müssen unterschiedlich konfiguriert sein:
- der erste ist nur für sasl-user konfiguriert mit mail quota
- der zweite ist nur für Maileingang/MX konfiguriert für greylisting etc.

Kopiere den Policyserver in ein anderes Verzeichnis, passe die Pfade an, 
ändere den Port für den zweiten, setze die Einstellungen nur für sasl, 
kopiere und passe das zweite init-script an, nimm ihn als Dienst auf und 
setze einen zweiten Aufruf mit dem geänderten Port für die sasl-user rein.

Eine andere Möglichkeit sehe ich nicht, aber der Aufwand sollte sich so in 
Grenzen halten.

Sandy
-- 
Antworten bitte nur in die Mailingliste!
PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com




Mehr Informationen über die Mailingliste Postfixbuch-users