[Postfixbuch-users] access-map vs. prce-map

Sandy Drobic postfixbuch-users at japantest.homelinux.com
Mi Aug 1 14:58:46 CEST 2007 

Jörg Reißlein wrote:
> Hallo zusammen,
> 
> eine kleine Verständnisfrage bezüglich smtpd_recipient_restrictions:
> 
> Ich prüfe mittels dieser Maps den Absender auf bestimmte Merkmale.
> 	                        check_client_access hash:/etc/postfix/access
>                              check_sender_mx_access
> cidr:/etc/postfix/bogus_mx
>                              check_client_access pcre:/etc/postfix/dynip
> 
> Grund ist das ein Absender aufgrund von DynIp Merkmalen abgelehnt wird.
> 
> Aug  1 09:57:25 mail postfix/smtpd[3345]: NOQUEUE: reject: RCPT from
> 81-223-121-68.wienerberg.xdsl-line.inode.at[81.223.121.68]: 550
> <81-223-121-68.wienerberg.xdsl-line.inode.at[81.223.121.68]>: Client host
> rejected: no dynIP please! your PTR/RDNS looks like a dynip, ask your
> Provider what to do 3a; from=<absender at domain.at>
> to=<empfänger at schmitt-aufzuege.at> proto=ESMTP helo=<fqdn.domain.at>
> 
> Ich habe diese Einträge in die Access Map rein, jeweils mit postmap die DB
> neu indiziert und Postfix restarted. 
> 
> Domain.at OK

1. Verwende Clientnamen in check_client_access
	check_client_access hash:/etc/postfix/client_whitelist
	/etc/postfix/client_whitelist:
	81-223-121-68.wienerberg.xdsl-line.inode.at	OK

2. Verwende sprechende Namen für deine /etc/postfix/access:

   [...]
   Sinnvoll ist es auch, den access tables sprechende Namen zu geben, um
   später die Struktur noch zuordnen zu können. Deshalb besser die access
   aufteilen in mehrere zweckgebundene Tabellen:

   /etc/postfix/access -> /etc/postfix/client_whitelist
                       -> /etc/postfix/client_blacklist_pcre
                       -> /etc/postfix/client_greylisting

   Dies führt automatisch zu mehr Übersicht und Struktur.

3. Reihenfolge:
  - Sicherstellen, dass die Mail zustellbar ist
  - Whitelist für Server mit DAU-Admins
  - Blacklists/Greylist/was-auch-immer

smtpd_recipient_restrictions =
	permit_mynetworks,
	reject_unauth_destination
	reject_unlisted_recipient
	check_client_access hash:/etc/postfix/client_whitelist
	check_client_access pcre:/etc/postfix/dynip

Es verbessert auch die Wartbarkeit. Du kannst eine neue Version von dynip
einfach einsetzen, ohne vorher mühselig die eigenen White/Blacklists
herauszukopieren.

Mit etwas Planung kann man sich und seinen Kollegen das Leben so viel
einfacher machen.

-- 
Sandy

Antworten bitte nur in die Mailingliste!
PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com

Mehr Informationen über die Mailingliste Postfixbuch-users