[Postfixbuch-users] restrictions

Sandy Drobic postfixbuch-users at japantest.homelinux.com
Mi Nov 1 11:25:29 CET 2006 

Patrick Braun wrote:
> 
> -----Ursprüngliche Nachricht-----
> Von: postfixbuch-users-bounces at listi.jpberlin.de
> [mailto:postfixbuch-users-bounces at listi.jpberlin.de]Im Auftrag von Sandy
> Drobic
> Gesendet: Mittwoch, 1. November 2006 10:47
> An: Eine Diskussionsliste rund um das Postfix-Buch.
> Betreff: Re: [Postfixbuch-users] restrictions
> 
> 
> Patrick Braun wrote:
>> Sind diese Restrictions sinvoll? Welche sollte man ergenzen welche löschen
>>
>> smtpd_recipient_restrictions = check_client_access
>> hash:/etc/postfix/ip-block, permit_mynetworks, permit_sasl_authenticated,
>> reject_unauth_destination, permit
>>
>> smtpd_helo_required = yes
>> smtpd_helo_restrictions = permit_mynetworks, permit_sasl_authenticated,
>> check_client_access hash:/etc/postfix/ip-block, reject_unknown_hostname,
>> reject_non_fqdn_hostname, permit
>> smtpd_sender_restrictions = permit_mynetworks, permit_sasl_authenticated,
>> reject_unknown_hostname, reject_non_fqdn_hostname, reject_rhsbl_sender
>> domain.tld, permit
> 
>> reject_unknown_hostname ist doppelt aufgeführt. Bei mir würde das viele
>> erwünschte Mails abweisen. Was ist denn eigentlich dieser letzte check:
>> "reject_rhsbl_sender domain.tld"?
> 
> reject_rbl_client domain.tld
> 
> Verwirft die Anfrage, wenn der SMTP-Client einen DNS-Record vom Typ A unter
> domain.tld hat.

Okay, soweit ist das schon klar. Ich hatte aber nach "reject_RHSBL_sender 
domain.tld" gefragt. (^-^)

Ist das eine Verschleierung der eigentlichen Domain oder aus copy & paste 
übriggeblieben?

> 
>> smtpd_client_restrictions = permit_mynetworks, reject_rbl_client
>> bl.spamcop.net, reject_rbl_client relays.ordb.org, reject_rbl_client
>> opm.blitzed.org, reject_rbl_client list.dsbl.org, reject_rbl_client
>> sbl.spamhaus.org, reject_rbl_client bl.spamcop.net, reject_rbl_client
>> cbl.abuseat.org, reject_rbl_client dynablock.njabl.org, reject_rbl_client
>> combined.rbl.msrbl.net, permit
> 
>> bl.spamcop.net ist mit Vorsicht zu genießen, die Liste wehrt sehr viele
>> Spamzombies ab, aber auch etliche mehr oder minder zu recht auf die Liste
>> gesetzte normale Mailserver.
> 
>> Verwende sbl-xbl.spamhaus.org, das ist eine Kombiliste aus
>> sbl.spamhaus.org, xbl.spamhaus.org und cbl.abuseat.org.
> 
>> Diese drei kannst du dann streichen.
> 
> Danke für den Hinwei
> 
>> in ip-block steht
>>
>> 213.200.241.202 REJECT
>> dmzsmx02.implenia.com OK
> 
>> Wozu dieser gemischte Block? Wäre es nicht sinnvoller, den zu teilen in
>> zwei getrennte Listen, eine White-List und eine Blacklist? Die Verwaltung
>> wäre jedenfalls einfacher und weniger fehlerträchtig.
> 
>> Bitte beachte, dass deine Einstellung im Augenblick erlaubt, dass
>> dmzsmx02.implenia.com relayen darf. Wenn er eine feste IP hat, sollte er
>> in mynetworks enthalten sein. Wenn er nur als Whitelist aufgenommen werden
>> soll, dann sollte der check nach reject_unauth_destination stehen.
> 
> 213.200.241.202 da möchte ich das von da keine mails angenomen werden, hatte
> heute nacht über 28'000 mails gelöscht
> 
> dmzsmx02.implenia.com da sollen mails angenommen werden  funktioniert jetzt
> auch

Ich wiederhole es explizit: Im Augenblick kann dmzsmx02.implenia.com 
deinen Server benutzen, um beliebige Mails über dich zu verschicken. Also 
nicht nur Mails, die an deine Domains gerichtet sind, sondern auch Mails, 
die über deinen Server nach extern relayed werden.

Wenn du das möchtest, nimm dmzsmx02.implenia.com in mynetworks auf, wenn 
dieser Client nur von allen Restriktionen verschont bleiben soll, setze 
den Check nach reject_unauth_destination. Dann kannst du dir den IP-Block 
sparen und auch die Checks unter smtpd_sender_restrictions werden 
ausgeklammert wie jetzt durch permit_mynetworks. Im Augenblick durchläuft 
  dmzsmx02.implenia.com noch alle smtpd_sender_restrictions.

> habs aber aus den helo rausgenommen
> 
>> Insgesamt ist diese Aufteilung nicht so transparent wie eine Konfig, wo
>> alle checks unter smtpd_recipient_restrictions stehen.
> 
> gibt es ein beispiel wie man das damit macht?

smtpd_recipient_restrictions =
	permit_mynetworks,
	permit_sasl_authenticated,
	reject_unauth_destination
	check_client_access hash:/etc/postfix/client_whitelist,
	check_client_access hash:/etc/postfix/client_blacklist,
	reject_unknown_hostname,
	reject_non_fqdn_hostname
	reject_rhsbl_sender domain.tld,
	reject_rbl_client bl.spamcop.net,
	reject_rbl_client relays.ordb.org,
	reject_rbl_client opm.blitzed.org,
	reject_rbl_client list.dsbl.org,
	reject_rbl_client sbl-xbl.spamhaus.org,
	reject_rbl_client dynablock.njabl.org,
	reject_rbl_client combined.rbl.msrbl.net

/etc/postfix/client_whitelist:
# alle clients, die von denen Mails an unsere Domains angenommen werden
dmzsmx02.implenia.com OK

/etc/postfix/client_blacklist:
# alle clients, die direkt geblockt werden:
213.200.241.202 REJECT

Mit der Trennung in Blacklist und Whitelist ist das Eintragen weiterer IPs 
  sehr einfach, und durch die Position nach reject_unauth_destination ist 
sichergestellt, dass nicht relayed wird.

Ich habe alle doppelten checks herausgenommen und die kombinierte sbl-xbl 
hereingesetzt. Meinst du nicht auch, dass diese Konfig transparenter ist?
Jetzt siehst du wenigstens, was in welcher Reihenfolge abläuft.

Spare dir die Aufteilung auf die verschiedenen Bereiche auf, wenn du eine 
wirklich haarige Reihe von Checks hast.

Du hast hier jetzt die restrictions von deiner Konfig aufgeführt, aber 
hast du auch überprüft, dass deine Empfängervalidierung funktioniert?

Sandy
-- 
Antworten bitte nur in die Mailingliste!
PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com

Mehr Informationen über die Mailingliste Postfixbuch-users