[Postfixbuch-users] Fragen zu Restrictions

[Sandy Drobic]

Sonja Linsi wrote:
> Hallo
> 
> Ich habe folgende Restrictions in der main.cf definiert:
> 
> smtpd_helo_required = yes
> 
> smtpd_recipient_restrictions =
>         check_sender_access hash:/etc/postfix/access
>         permit_mynetworks
>         reject_unauth_destination
>         reject_unknown_sender_domain
>         reject_unknown_recipient_domain
>         reject_unauth_pipelining
>         check_recipient_access hash:/etc/postfix/roleaccount_exeptions
>         reject_rbl_client relays.ordb.org
>         reject_rbl_client list.dsbl.org
>         reject_rbl_client sbl-xbl.spamhaus.org
>         reject_rbl_client cbl.abuseat.org
>         check_sender_access hash:/etc/postfix/common_spam_sender_domains
> ----------
> Meine Fragen:
> 
> Wenn die Absender entweder über ihren Provider oder über das Webmail
> senden, dann sollte es doch kein Problem sein, einen FQDN zu verlangen?
> Auch ein reject_invalid_hostname sollte problemlos sein, oder?

Der Theorie nach hat jeder Mailserver so konfiguriert zu sein, dass alle 
relevanten RFCs erfüllt sind. Dies ist jedoch in der Praxis nicht der 
Fall, deshalb muss man bei jeder Einschränkung damit rechnen, dass ein 
Admin seinen Server nicht im Griff hat und oft nicht einmal merkt, dass 
der Server falsch konfiguriert ist.
Meistens bekommt er es erst mit, wenn ein Spammer ihn als Relay 
missbraucht, andere Mailserver seinen Server abweisen etc.

> Wo baue ich dies am Besten ein?

Dort, wo sie keinen Schaden anrichten. Meistens wird das nach 
reject_unauth_destination gesetzt, so dass eventuell falsch konfigurierte 
interne Server nicht betroffen sind, und vor dem Aufruf externer Checks, 
die relativ gesehen langsam sind.

> Kennt ihr noch weitere Blacklists, die Sinn machen?

Ohne Analyse des Spams, den du verhindern willst, gibt es keine echte 
Antwort. Definiere erst präzise das Problem, das du beseitigen willst, 
danach kommt die Antwort meist von selbst. (^-^)

> Ausserdem habe ich noch ein Verständnisproblem: Wenn ich verschiedene
> Relaydomains habe, muss dann $mydestination dort stehen oder nicht? Oder
> brauchts das gar nicht? Im Moment siehts so aus:
> relay_domains =
>         $mydestination

Das hier sollte dir eigentlich einen Fehler im Log ausspucken nach dem 
Motto "Do not list domains in both relay_domains and mydestination..."

Lies dir am besten das Kapitel mit den Domainklassen noch einmal durch. 
Das wollte ich eigentlich sagen, aber zumindest in der englischen Version 
über Postfix 2.1 habe ich kein solches Kapitel gefunden. :-(

In dem Fall hier die offizielle Seite von Postfix.org:
http://www.postfix.org/ADDRESS_CLASS_README.html

Sandy