[Postfixbuch-users] restrictions

Sandy Drobic postfixbuch-users at japantest.homelinux.com
Mi Nov 1 10:46:31 CET 2006 

Patrick Braun wrote:
> Sind diese Restrictions sinvoll? Welche sollte man ergenzen welche löschen
> 
> smtpd_recipient_restrictions = check_client_access
> hash:/etc/postfix/ip-block, permit_mynetworks, permit_sasl_authenticated,
> reject_unauth_destination, permit
> 
> smtpd_helo_required = yes
> smtpd_helo_restrictions = permit_mynetworks, permit_sasl_authenticated,
> check_client_access hash:/etc/postfix/ip-block, reject_unknown_hostname,
> reject_non_fqdn_hostname, permit
> smtpd_sender_restrictions = permit_mynetworks, permit_sasl_authenticated,
> reject_unknown_hostname, reject_non_fqdn_hostname, reject_rhsbl_sender
> domain.tld, permit

reject_unknown_hostname ist doppelt aufgeführt. Bei mir würde das viele 
erwünschte Mails abweisen. Was ist denn eigentlich dieser letzte check: 
"reject_rhsbl_sender domain.tld"?

> smtpd_client_restrictions = permit_mynetworks, reject_rbl_client
> bl.spamcop.net, reject_rbl_client relays.ordb.org, reject_rbl_client
> opm.blitzed.org, reject_rbl_client list.dsbl.org, reject_rbl_client
> sbl.spamhaus.org, reject_rbl_client bl.spamcop.net, reject_rbl_client
> cbl.abuseat.org, reject_rbl_client dynablock.njabl.org, reject_rbl_client
> combined.rbl.msrbl.net, permit

bl.spamcop.net ist mit Vorsicht zu genießen, die Liste wehrt sehr viele 
Spamzombies ab, aber auch etliche mehr oder minder zu recht auf die Liste 
gesetzte normale Mailserver.

Verwende sbl-xbl.spamhaus.org, das ist eine Kombiliste aus 
sbl.spamhaus.org, xbl.spamhaus.org und cbl.abuseat.org.

Diese drei kannst du dann streichen.

> in ip-block steht
> 
> 213.200.241.202 REJECT
> dmzsmx02.implenia.com OK

Wozu dieser gemischte Block? Wäre es nicht sinnvoller, den zu teilen in 
zwei getrennte Listen, eine White-List und eine Blacklist? Die Verwaltung 
wäre jedenfalls einfacher und weniger fehlerträchtig.

Bitte beachte, dass deine Einstellung im Augenblick erlaubt, dass 
dmzsmx02.implenia.com relayen darf. Wenn er eine feste IP hat, sollte er 
in mynetworks enthalten sein. Wenn er nur als Whitelist aufgenommen werden 
soll, dann sollte der check nach reject_unauth_destination stehen.

Insgesamt ist diese Aufteilung nicht so transparent wie eine Konfig, wo 
alle checks unter smtpd_recipient_restrictions stehen.

Sandy

-- 
Antworten bitte nur in die Mailingliste!
PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com

Mehr Informationen über die Mailingliste Postfixbuch-users