[Postfixbuch-users] Verbessertes Blocken von Spam-Mails anhand IP, DNS, DUL etc?

Sandy Drobic postfixbuch-users at japantest.homelinux.com
Do Jun 1 14:09:03 CEST 2006


Heiner Mueller wrote:
> Hallo,
> 
>> [...] Nur die RBLs lehnen eine Mail direkt mit REJECT ab. 
>> Spamassassin/Mailscanner/Bayes können die angenommene Mail nur 
>> nachträglich als Spam deklarieren, sollten sie aber trotzdem
>> zustellen.
> 
> klar. Würden wenigstens Spamassassin etc. die Mails erkennen, würde es
> ja noch gehen. Aber aus irgendwelchen Gründen bekommen die zu niedrige
> Bewertungen (z.B. keine URI/nicht auf URI-Blacklist, Bayes zu
> niedrig/00, ...)
> 
>> Die Ausgabe von "postconf -n" würde helfen beim Helfen. (^-^)
> 
> haben ich mir auch gedacht (s.u.) ;-)
> 
> 
>> ->	reject_invalid_hostname, ->	reject_non_fqdn_hostname,
> 
> in smptd_recipient_restrictions?

Ich habe sie dorthin reingesetzt, da du als Beispiel nur die 
smtpd_recipient_restrictions angeführt hast. Du kannst alle Checks unter 
smtpd_recipient_restrictions aufführen, aber du kannst die HELO-Checks 
auch unter smtpd_helo_restrictions setzen:

smtpd_helo_restrictions =
	permit_mynetworks,
	permit_sasl_authenticated,
	reject_unauth_destination,
	check_client_access hash:/etc/postfix/whitelist_client
	reject_invalid_hostname,
	reject_non_fqdn_hostname

> 
> Ich will auf jeden Fall (naja muß nicht ganz 100% sein), verhindern,
> dass ich gewollte Mails/Clients blockiere.

reject_invalid_hostname sollte keine False Positives erzeugen. 
reject_non_fqdn_hostname hat bei mir ein paar fehlkonfigurierte Mailserver 
abgelehnt. Die habe ich dann manuell in die Whitelist gesetzt und gut war.

Jeder normale Mailserver MUSS einen FQDN haben. Wenn dies für ein paar 
kaputte Clients, die man annehmen will, nicht der Fall ist, muss man eine 
Whitelist pflegen (oben bereits eingesetzt).

Du kannst das ganze ja mal mit
warn_if_reject reject_non_fqdn_hostname
als Test laufen lassen.

> 
> Das Wichtigste meiner Config:
> 
> smtpd_recipient_restrictions = reject_unknown_sender_domain, 
> reject_non_fqdn_sender, permit_mynetworks, permit_sasl_authenticated, 
> reject_unauth_destination, check_sender_access
> btree:/etc/postfix/sender_access, check_recipient_access
> btree:/etc/postfix/recipient_access, reject_rbl_client
> ix.dnsbl.manitu.net, reject_rbl_client sbl-xbl.spamhaus.org, 
> reject_rbl_client relays.ordb.org, reject_rhsbl_client
> blackhole.securitysage.com, reject_rhsbl_sender
> blackhole.securitysage.com, permit
> 
> header_checks = regexp:/etc/postfix/header_checks
> 
> --- und hier nochmal postconf -n:

Nichts, was direkt ins Gesicht schreien würde. smtpd_helo_required=yes ist 
gesetzt.

Sandy




Mehr Informationen über die Mailingliste Postfixbuch-users