[Postfixbuch-users] Greylisting Abweisungen

Robert Felber r.felber at ek-muc.de
Di Dez 18 19:15:36 CET 2007


On Tue, Dec 18, 2007 at 06:33:57PM +0100, Andre Keller wrote:
> 
> > Ja, alternativ geht auch ein "450", nur das "DEFER_IF_PERMIT" ist halt
> > etwas ungluecklich. Das fuehrt in den meisten setups dazu, dass
> > unnoetigerweise die RBLs abgefragt werden, nicht so bei 4xx reply codes.
> > 
> > Wobei es auch etwas seltsam waere, den einen empfaenger der transaction
> > zu greylisten, den anderen aber nicht. So richtig gewonnen ist damit nix,
> > ausser doppelte payload.
> > 
> > 1. mal body senden aufgrund rcpt exception
> > 2. mal body senden aufgrund greylisted rcpts
> > 
> > 
> 
> Hmm jetzt haste mich verwirrt ;-)
> 
> Was ist jetzt die optimale Art Greylisting Rejects zu machen? 
> Standardmässig ist dies ein 450 oder?


Standardmaessig ist es ein DEFER_IF_PERMIT.
Folgende Moeglichkeiten sich ins Knie zu schiessen gibt es:

smtpd_recipient_restrictions =
    reject_unauth_destination
    permit_rcpt_exceptions_OK
    greylist_DEFER_IF_PERMIT
    rbls

 - Die RBLs werden trotzdem abgefragt.
Eventuelle multirecipients/exceptions werden korrekt behandelt. 
Bei eventuellen multirecipient/exceptions wird der body ZWEIMAL
ueber die Leitung geschickt.
IMHO: suboptimal beim praktischen Einsatz



smtpd_recipient_restrictions =
    reject_unauth_destination
    permit_rcpt_exceptions_OK
    greylist_450
    rbls

 - Die RBLs werden nur abgefragt, wenn greylisting den client
kennt.
Eventuelle multirecipient/exceptions werden korrekt behandelt.
Bei eventuellen multirecipient/exceptions wird der body ZWEIMAL
ueber die Leitung geschickt.
IMHO: ungefaehrlich und generisch-ideal (eigentlich das, was
      jeder erwartet)



smtpd_recipient_restrictions =
    reject_unauth_destination
    permit_rcpt_exceptions_OK
    greylist_421
    rbls

 - Die RBLs werden nur abgefragt, wenn greylisting den client
kennt.
Eventuelle multirecipient/exceptions werden NICHT wie gewuenscht
behandelt sobald dem client ein 421+close widerfaehrt.
IMHO: - Kandidat fuer stress-situationen bei Empfaengerausnahmen
      oder
      - Okay bei Server die keine Empfaengerausnahmen fuer greylisting
      haben




Kurz: Empfaengerausnahmen fuer greylisting sollte man vermeiden. Wenn es sich
um eine ganze domain handelt, kann man die auch auf einen MX ohne greylisting
setzen. Haarig wirds halt, wenn es einzelne Chef^WUser sind, die kein 
greylisting wollen (das sind auch meist die Kandidaten mit den extra grossen
multirecipient mails).






-- 
    Robert Felber (PGP: 896CF30B)
    Munich, Germany



Mehr Informationen über die Mailingliste Postfixbuch-users