[Postfixbuch-users] Wie kann man solche Mails abblocken?

Ralf Hildebrandt Ralf.Hildebrandt at charite.de
So Jul 9 12:25:17 CEST 2006 

* Denise <denise at wipu-club.de>:
> Hallo Liste...
> 
> Ich bekomme seit neuestem Mails in welchem der Empfänger (also eine
> meiner Emailadressen) nicht stimmt und auch nicht in access eingetragen ist.
> In der angehängten Mail ist  "To: "Susanne" <denise at weissenbach-pr.de>"
> im Header. Solche Mails können auch durch bcc's erzeugt werden, klar.
> Kann man so etwas irgendwie blocken?

An welchen envelope recipient ging es denn?

> Oder habe ich einen Konfigurationsfehler? Ich versuche das durch
> 
> smtpd_recipient_restrictions = permit_sasl_authenticated,
>  permit_mynetworks,
>  hash:/etc/postfix/access,

smtpd_recipient_restrictions =
   permit_sasl_authenticated
   permit_mynetworks
   reject_unuath_destination
   check_recipient_access hash:/etc/postfix/access
   ...
   
ist besser und besser lesbar.

> abzufangen, es gelingt aber nicht.
> 
> In meiner /etc/postfix/access steht
> 
> localhost RELAY
Das gibt es in man 5 access nicht. Unfug. Raus damit.

> postmaster at erste_domain.de                 OK
> denise at erste_domain.de                     OK
> sabine at erste_domain.de                     OK
> virusalert at erste_domain.de                 OK
> postmistress at zweite_domain.de              OK
> moschnobaer at dritte_domain.de               OK
> postmaster at dritte_domain.de                OK
> clanmaster at vierte_domain.de                OK
> catherine at vierte_domain.de                 OK
> postmaster at fuenfte_domain.de               OK
> sabine at sechste_domain.de	           OK

Wozu überhaupt? Die korrekte Lösung sind korrekt gesetzt
local_recipient_maps oder relay_recipient_maps. Dann wird mail an
unbekannte Adressen EH nicht angenommen. Ausserdem fehlt natuerlich
ein REJECT, sodass die ganze Tabelle überflüssig wie ein Kropf ist.

> Wenn also die To-Zeile heißt: To: "Susanne" <denise at weissenbach-pr.de>
> und die Prüfung über hash:/etc/postfix/access geht, müßte IMHO die Mail
> abgewiesen
> werden, wenn der Empfänger nicht eingetragen ist.

Nein. Header werden nicht gecheckt, nur der envelope sender!

> Received: from mail.iem.gov.tr (mail.iem.gov.tr [212.175.85.226])
> 	by mail.wipu-club.de (Postfix) with SMTP id 6A8729F2A
> 	for <denise at wipu-club.de>; Sun,  9 Jul 2006 07:53:07 +0200 (CEST)

Hier ist der envelope recipient "denise at wipu-club.de"

> To: "Susanne" <denise at weissenbach-pr.de>
welcher nichts mit dem Header zu tun hat.

> maps_rbl_domains = relays.osirusoft.com,
> dialups.relays.osirusoft.com,    relays.ordb.org,     inputs.orbz.org
Gibts die überhaupt alle noch?
Man macht das jetzt auch mit:

reject_rbl_client relays.osirusoft.com,
reject_rbl_client dialups.relays.osirusoft.com,
reject_rbl_client relays.ordb.org,
reject_rbl_client inputs.orbz.org,

Das kann ganz raus.

> myhostname = mail.wipu-club.de

> smtpd_error_sleep_time = 100
Bissel hoch.

> smtpd_helo_restrictions =
>  permit_sasl_authenticated,
>  permit_mynetworks,
>  check_helo_access pcre:/etc/postfix/helo_checks   '!!! Liegt es
> vielleicht hier dran? Hier fehlte ein Komma!
Nee, das ist egal.

>  reject_unauth_destination,
>  reject_non_fqdn_sender,
>  reject_non_fqdn_recipient,
>  reject_unknown_recipient_domain,
>  reject_non_fqdn_hostname,
>  reject_invalid_hostname,
>  reject_rhsbl_client rhsbl.sorbs.net,
>  reject_rhsbl_sender rhsbl.sorbs.net,
>  reject_rbl_client opm.blitzed.org,
>  reject_rbl_client cbl.abuseat.org,
>  reject_rbl_client relays.ordb.org,
>  reject_rbl_client list.dsbl.org,
>  reject_rbl_client sbl.spamhaus.org,
>  reject_rbl_client unconfirmed.dsbl.org,
>  reject_rbl_client list.dsbl.org,
>  reject_rbl_client dynablock.njabl.org,
>  reject_rbl_client dialup.blacklist.jippg.org,
>  reject_rbl_client opm.blitzed.org,
>  reject_rbl_client cbl.abuseat.org,
>  reject_rbl_client multihop.dsbl.org,
>  reject_rbl_client dialup.rbl.kropka.net,
>  reject_unauth_pipelining

> smtpd_recipient_restrictions = permit_sasl_authenticated,
>  permit_mynetworks,
>  hash:/etc/postfix/access,
>  reject_invalid_hostname,
>  reject_non_fqdn_sender,
>  reject_non_fqdn_recipient,
>  reject_unknown_sender_domain,
>  reject_unauth_pipelining,
>  reject_unknown_recipient_domain,
>  reject_unauth_destination

> smtpd_sasl_auth_enable = yes
> smtpd_sender_restrictions = hash:/etc/postfix/access
>  check_sender_access hash:/etc/postfix/unallowed
>  permit_mynetworks,
>  reject_non_fqdn_sender,
>  reject_unknown_sender_domain,
>  check_sender_access hash:/etc/postfix/sender_access,
>  reject_unverified_sender
>  reject_unauth_destination,
>  reject_rhsbl_client rhsbl.sorbs.net,
>  reject_rhsbl_sender rhsbl.sorbs.net,
>  reject_rbl_client relays.ordb.org,
>  reject_rbl_client list.dsbl.org,
>  reject_rbl_client sbl.spamhaus.org,
>  reject_rbl_client unconfirmed.dsbl.org,
>  reject_rbl_client list.dsbl.org,
>  reject_rbl_client dynablock.njabl.org,
>  reject_rbl_client dialup.blacklist.jippg.org,
>  reject_rbl_client multihop.dsbl.org,
>  reject_rbl_client dialup.rbl.kropka.net,
>  reject_rbl_client opm.blitzed.org,
>  reject_rbl_client cbl.abuseat.org,
>  reject_non_fqdn_sender,
>  reject_non_fqdn_recipient,
>  reject_unknown_recipient_domain,
>  reject_unauth_pipelining

Warum duplizierst Du den Kram? Einmal in smtpd_recipient_restrictions
reicht das vollkommen.

-- 
Ralf Hildebrandt (Ralf.Hildebrandt at charite.de)          spamtrap at charite.de
Postfix - Einrichtung, Betrieb und Wartung       Tel. +49 (0)30-450 570-155
http://www.postfix-buch.com
When a girl marries she exchanges the attentions of many men for the
inattentions of one.  - Helen Rowland

Mehr Informationen über die Mailingliste Postfixbuch-users