[Postfixbuch-users] Policyd-weight Auswertung der reject_warnings
Sandy Drobic
postfixbuch-users at japantest.homelinux.com
Mi Nov 29 11:10:02 CET 2006
Werner Detter wrote:
>> Ich nehme an, die einfachste Methode ist, den Policy-Aufruf als letzten in
>> der Liste der Checks zu setzen, so dass automatisch alle rejects, die
>> Policyd-weight erzeugt, nur auf Mails angewandt werden, die bereits alle
>> sonstigen Checks passiert haben.
> Genau das hatte ich so implementiert:
>
> smtpd_recipient_restrictions =
> reject_non_fqdn_sender,
> reject_non_fqdn_recipient,
> reject_unknown_recipient_domain,
> reject_unknown_sender_domain,
> check_sender_access hash:/etc/postfix/access,
> check_client_access hash:/etc/postfix/access,
> check_recipient_access hash:/etc/postfix/access,
> permit_mynetworks,
> reject_unauth_destination,
> reject_multi_recipient_bounce,
> reject_non_fqdn_hostname,
> reject_invalid_hostname,
> check_helo_access pcre:/etc/postfix/helo_checks,
> reject_rbl_client cbl.abuseat.org,
> reject_rbl_client sbl-xbl.spamhaus.org,
> reject_rbl_client dnsbl.njabl.org,
> warn_if_reject check_policy_service inet:127.0.0.1:12525,
> permit
>
>
> Ich denke an der stelle macht sich der Policyd ganz gut :-)
> Das bedeutet, die Auswertung von Pflogsumm zeigt mir real
> die eMails, die durch die oberen Restriktionen nicht abgegriffen
> worden sind und wirklich durch den Policyd rejectet werden
> würden. Das sind dann ja schon einige, da lohnt sich der Einsatz
> wirklich, wenn ich das richtig verstanden habe :-)
Ich vermisse hier nur eine Sache, und das ist das
"reject_unlisted_recipient", um die Gültigkeit der Empfänger vor dem
Policy-Aufruf zu prüfen. Dies geschieht sonst nämlich implizit erst am
ende der smtpd_recipient_restrictions, also auch erst nach dem Aufruf des
Policy-Servers.
Deine Vewendung von /etc/postfix/access als eierlegende Wollmilchsau für
check_client_access, check_recipient_access und check_client_access macht
mich jedoch mißtrauisch, ob das auch wirklich sauber funktioniert. Im
Prinzip kannst du nur mit Domainnamen arbeiten. Vielleicht solltest du
dies noch sauberer aufteilen. Eine IP-Adresse hat wenig gemein mit einer
Emailadresse. (^-^)
Den Aufruf von cbl kannst du dir ersparen, die ist in sbl-xbl enthalten.
Sandy
--
Antworten bitte nur in die Mailingliste!
PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com
Mehr Informationen über die Mailingliste Postfixbuch-users