[Postfixbuch-users] policyd-weight

Martin Fischer martin.fischer at bcc.de
Fr Dez 22 11:47:17 CET 2006


Am Donnerstag, 21. Dezember 2006 15:50 schrieb Robert Felber:
> On Thu, Dec 21, 2006 at 12:33:11PM +0100, Martin Fischer wrote:
> > smtpd_recipient_restrictions =
> >    permit_mynetworks,
> >    permit_sasl_authenticated,
> >    check_client_access hash:/var/lib/pop-before-smtp/hosts,
> >    reject_unauth_destination,
> >    reject_unauth_pipelining,
> >    reject_non_fqdn_hostname,
> >    reject_non_fqdn_sender,
> >    reject_unknown_sender_domain,
> >    reject_non_fqdn_recipient,
> >    reject_unknown_recipient_domain,
> >    check_policy_service inet:127.0.0.1:12525
> >    permit
> >
> > benötigt man denn die ganzen checks oben noch oder werden die von dem
> > policyd-weight auch übernommen?
>
> ja und nein. Du must dir im klaren sein, welche *bisherigen* postfix checks
> bezueglich des sender, des HELO, des clients problematisch fuer dich waren.

[...]

also vorher hatte ich eigentlich keine probleme mit den checks... daher werde 
ich sie dann wohl nach deiner info wieder reinnehmen...

danke für den hinweis...

eine frage noch am rande:

mittels split-dns habe ich öffentliche und nicht öffentliche hosts.. wenn nun 
ein nichtöffentlicher host eine mail senden will, meldet er sich beim helo 
natürlich mit seinem nicht öffentlichen fqdn.. jetzt greift natürlich 
policyd-weight und rejected den...

ich habe mir nun so geholfen, das ich ein
check_helo_access hash:/etc/postfix/helo_checks
vor
reject_unauth_destination
gesetzt habe..

theoretisch mache ich da aber ein open-relay.. wenn, wie auch immer, jemand 
den nichtöffentlichen hostname als helo nutzt, dann hat er ja "feuer frei"..

vielleicht hat ja jemand eine bessere, vor allem sichere lösung für diesen 
fall..

gruß martin



Mehr Informationen über die Mailingliste Postfixbuch-users