[Postfixbuch-users] Policyd-weight Auswertung der reject_warnings

Sandy Drobic postfixbuch-users at japantest.homelinux.com
Mi Nov 29 11:10:02 CET 2006 

Werner Detter wrote:

>> Ich nehme an, die einfachste Methode ist, den Policy-Aufruf als letzten in 
>> der Liste der Checks zu setzen, so dass automatisch alle rejects, die 
>> Policyd-weight erzeugt, nur auf Mails angewandt werden, die bereits alle 
>> sonstigen Checks passiert haben.

> Genau das hatte ich so implementiert:
> 
> smtpd_recipient_restrictions =
>          reject_non_fqdn_sender,
>          reject_non_fqdn_recipient,
>          reject_unknown_recipient_domain,
>          reject_unknown_sender_domain,
>          check_sender_access hash:/etc/postfix/access,
>          check_client_access hash:/etc/postfix/access,
>          check_recipient_access hash:/etc/postfix/access,
>          permit_mynetworks,
>          reject_unauth_destination,
>          reject_multi_recipient_bounce,
>          reject_non_fqdn_hostname,
>          reject_invalid_hostname,
>          check_helo_access pcre:/etc/postfix/helo_checks,
>          reject_rbl_client cbl.abuseat.org,
>          reject_rbl_client sbl-xbl.spamhaus.org,
>          reject_rbl_client dnsbl.njabl.org,
>          warn_if_reject check_policy_service inet:127.0.0.1:12525,
>          permit
> 
> 
> Ich denke an der stelle macht sich der Policyd ganz gut :-)
> Das bedeutet, die Auswertung von Pflogsumm zeigt mir real
> die eMails, die durch die oberen Restriktionen nicht abgegriffen
> worden sind und wirklich durch den Policyd rejectet werden
> würden. Das sind dann ja schon einige, da lohnt sich der Einsatz
> wirklich, wenn ich das richtig verstanden habe :-)

Ich vermisse hier nur eine Sache, und das ist das 
"reject_unlisted_recipient", um die Gültigkeit der Empfänger vor dem 
Policy-Aufruf zu prüfen. Dies geschieht sonst nämlich implizit erst am 
ende der smtpd_recipient_restrictions, also auch erst nach dem Aufruf des 
Policy-Servers.

Deine Vewendung von /etc/postfix/access als eierlegende Wollmilchsau für 
check_client_access, check_recipient_access und check_client_access macht 
mich jedoch mißtrauisch, ob das auch wirklich sauber funktioniert. Im 
Prinzip kannst du nur mit Domainnamen arbeiten. Vielleicht solltest du 
dies noch sauberer aufteilen. Eine IP-Adresse hat wenig gemein mit einer 
Emailadresse. (^-^)

Den Aufruf von cbl kannst du dir ersparen, die ist in sbl-xbl enthalten.

Sandy
-- 
Antworten bitte nur in die Mailingliste!
PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com

Mehr Informationen über die Mailingliste Postfixbuch-users