[Postfixbuch-users] Subdomains und relay_recipient_maps

Patrick Ben Koetter p at state-of-mind.de
Do Mär 30 09:35:57 CEST 2006


* Joachim Schoenberg <joe at pdi-berlin.de>:
> hat wirklich niemand einen Tip für mich, oder ist die Frage zu bloed?
> Gibt es dann eine Stelle, wo ich ueber das Thema nachlesen kann?
> 
> Oder soll ich dem Kunden das "subdomain stripping" ausreden und sagen:
> die _wirklichen_ Mailadressen aus den Subdomains gehoeren in die
> relay_recipient_maps und fertig?

Was da 'wirklich' reingehört, ist IMO eine Frage der 'Unternehmenspolitk' -
technisch gesehen ist beides umsetzbar. Hier ein paar Gedanken:

Einfache mappings durch regexp-Ersetzungen (catchalls) halte ich in der Praxis
für unbrauchbar, weil globale Ersetzungen selten die Realität treffen.

Wenn Du für global ersetzte Sender Mail annehmen musst, musst Du es global für
Deine Domain und damit nahezu unkritisch tun. Das ist in meinen Augen der Tod
für gute Anti-Spam-Maßnahmen.

Du kannst natürlich dann mit recipient address verification verhindern, dass
Du Mail für nicht existierende User auf den Zielsystemen annimmst, aber das
kostet auch irre Ressourcen.

Richtig [tm] ist hier sicherlich ein dezentral verwalterter und zentral
abgefragter LDAP-Dienst, in dem ihr Eure Benutzer organisiert. Wir hatten
sowas an der LMU München für ~30.000 aktive Nutzer und es hat uns extrem den
Alltag erleichtert.

Mit so einer Datenquelle weist Du dann immer welche Sender oder Recipients
_wirklich_ existieren und, bei Verwendung von LDAP, kannst Du mit
result_filter auch Teile (z.B. subdomain) des results automagisch wegfiltern.

Das kostet zwar etwas Zeit und die Latenz des query verzögert die Mails, aber
zumindest hast Du genaue Angaben und viel Spam bliebt so draussen vor der
Tür. Wenn die Latenz dann zu hoch wird, holst Du die Daten nicht mehr live,
sondern generierst Dir mit einem Skript (LDAP-Abfrage -> Text-Export) eine map
und bist damit wieder gut im Rennen.

Das alles kann aber nicht das potentielle Problem der "engen Namensräume im
localpart" lösen. Irgendwann gibt es halt einen zweiten
joachim.schoenberg at pdi-berlin.de und dann sind Subdomains echt praktisch...

p at rick


> 
> Joe
> 
> Am Dienstag, 28. März 2006 13:06 schrieb Joachim Schoenberg:
> > Hallo Liste,
> > 
> > ich betreue ein Mailrelay fuer mehrere Institute.
> > Es kam der Wunsch auf, daß Mails an Empfänger in
> > Subdomains umgeschrieben und damit zustellbar werden.
> > Ich hatte das über
> > 
> > canonical_maps = regexp:/etc/postfix/canonical_regexp
> > 
> > geloest mit Eintraegen wie
> > 
> > /@.*\.pdi-berlin\.de/  @pdi-berlin.de 
> > 
> > "Meine" Domains stehen in relay_domains, also z. B.
> > 
> > pdi-berlin.de	dummy
> > 
> > Ich stelle jetzt fest, daß zwar korrekt umgeschrieben wird, aber die 
> > Abfrage der relay_recipient_maps erfolgt nicht bzw. vorher (vermutlich,
> > weil die canonical maps erst durch "cleanup" bearbeitet werden).
> > Wie kann ich das Abscheiden der Subdomains _vor_ der Abfrage gueltigen Nutzer
> > vornehmen - oder brauche ich einen grundsaetzlich anderen Ansatz?
> > 
> > postconf -n:
> > 
> > 
> > alias_maps = hash:/etc/aliases
> > biff = no
> > canonical_maps = regexp:/etc/postfix/canonical_regexp
> > command_directory = /usr/sbin
> > config_directory = /etc/postfix
> > content_filter = smtp:[127.0.0.1]:10024
> > daemon_directory = /usr/lib/postfix
> > debug_peer_level = 2
> > defer_transports =
> > disable_dns_lookups = no
> > html_directory = /usr/share/doc/packages/postfix/html
> > inet_interfaces = all
> > mail_owner = postfix
> > mail_spool_directory = /var/mail
> > mailbox_command =
> > mailbox_size_limit = 0
> > mailbox_transport =
> > mailq_path = /usr/bin/mailq
> > manpage_directory = /usr/share/man
> > masquerade_classes = envelope_sender, header_sender, header_recipient
> > masquerade_domains =
> > masquerade_exceptions = root
> > message_size_limit = 102400000
> > mydestination = $myhostname, localhost.$mydomain
> > myhostname = agent-j.bb.fv-berlin.de
> > mynetworks = hash:/etc/postfix/network_table
> > newaliases_path = /usr/bin/newaliases
> > queue_directory = /var/spool/postfix
> > readme_directory = /usr/share/doc/packages/postfix/README_FILES
> > relay_domains = $mydestination, hash:/etc/postfix/relay-domains
> > relay_recipient_maps = hash:/etc/postfix/maps/valid_users_pdi # usw.
> > relayhost =
> > relocated_maps = hash:/etc/postfix/relocated
> > sample_directory = /usr/share/doc/packages/postfix/samples
> > sender_canonical_maps = hash:/etc/postfix/sender_canonical
> > sendmail_path = /usr/sbin/sendmail
> > setgid_group = maildrop
> > smtp_sasl_auth_enable = no
> > smtp_use_tls = no
> > smtpd_client_restrictions =
> > smtpd_helo_required = no
> > smtpd_helo_restrictions =
> > smtpd_recipient_restrictions =  reject_unlisted_recipient
> >                                 permit_mynetworks
> >                                 reject_unauth_destination
> >                                 check_policy_service inet:127.0.0.1:11111
> >                                 check_recipient_access  hash:/etc/postfix/maps/valid_users_pdi
> > smtpd_sasl_auth_enable = no
> > smtpd_sender_restrictions = hash:/etc/postfix/access
> > smtpd_use_tls = no
> > soft_bounce = no
> > strict_rfc821_envelopes = no
> > transport_maps = hash:/etc/postfix/transport
> > unknown_local_recipient_reject_code = 550
> > 
> >              
> > Gruss
> > 
> > Joe
> > 
> > -- 
> > ----------------------------------------------------------------
> >  Joachim Schoenberg                  PHONE:    +49 30 20377 374  
> >  Paul-Drude-Institut fuer            FAX:      +49 30 20377 201  
> >  Festkoerperelektronik Berlin
> > ----------------------------------------------------------------
> 
> -- 
> ----------------------------------------------------------------
>  Joachim Schoenberg                  PHONE:    +49 30 20377 374  
>  Paul-Drude-Institut fuer            FAX:      +49 30 20377 201  
>  Festkoerperelektronik Berlin
> ----------------------------------------------------------------
> -- 
> _______________________________________________
> Postfixbuch-users mailingliste
> Heinlein Professional Linux Support GmbH
> 
> Postfixbuch-users at listi.jpberlin.de
> http://listi.jpberlin.de/mailman/listinfo/postfixbuch-users

-- 
Das »Postfix«-Buch
<http://www.postfix-buch.com>
saslfinger (debugging SMTP AUTH):
<http://postfix.state-of-mind.de/patrick.koetter/saslfinger/>



Mehr Informationen über die Mailingliste Postfixbuch-users