[Postfixbuch-users] postfix probleme

Uwe Driessen driessen at fblan.de
Mo Feb 19 01:49:35 CET 2007


Peer Heinlein schrieb: 
> Am Sonntag, 18. Februar 2007 20:51 schrieb Uwe Driessen:
> 
> > Ich versuche es mal (bin ja noch in der Ausbildung) wenns falsch ist
> > pfeifen hoffentlich die alten Hasen
> 
> 
> Pfeiffffffffffffffffffffffffffffffff!
> 
> > Die solltest du mal von billig(lokale Überprüfung) nach teuer (externe
> > anfragen) sortieren
> 
> Wenn man die Restrictions in allen Abhängigkeiten und Konsequenzen
> überdenkt, so bleibt kein Raum mehr um nach billig & teuer zu trennen.
> 
> > smtpd_recipient_restrictions =
> > billig	reject_non_fqdn_sender,
> > billig	reject_non_fqdn_recipient,
> > billig	check_recipient_access pcre:/etc/postfix/maps/apostroph,
> >
> > teuer		reject_unknown_sender_domain,
> > 		externe DNS Abfrage
> >
> > teuer 	reject_unknown_recipient_domain,
> > 		externe DNS Abfrage
> >
> > 		permit_mynetworks,
> > 		permit_sasl_authenticated,
> > die beiden sollten auf pos 3 und 4
> 
> Meiner Meinung nach falsch, wie neulich geschrieben.

Bei pos 3 und 4 stehen die ja schon hinter den 
reject_non_fqdn_sender,
reject_non_fqdn_recipient,

bei mir kommt dann 
reject_sender_login_mismatch,
permit_mynetworks,
permit_tls_clientcerts,
permit_sasl_authenticated,

Damit sollte schon mal ausgeschlossen sein das jemand mit einem nicht auf dem Server
existierenden Mailadresse senden kann (oder liege ich da wieder falsch? Peer kann so schön
pfeifen *gg)

Dann kommen die localen abfragen nach dem richtigen Helo, pipeling,...

Danach werden die lokalen Maps abgefragt (dynip, bogus_mx,....)

Bis jetzt habe ich für die Überprüfung noch keinen externen Trafik zusätzlich gemacht.

Nun habe ich die ersten externen DNS Anfragen laufen 
reject_unknown_sender_domain,
reject_unknown_recipient_domain,

Wer das alles vorher überlebt hat und zum ersten mal kommt bekommt greylisting. 

Und erst ganz am Schluss kommen die RBL's zum Einsatz  

Jede externe Anfrage ist auf die schnelle Antwort der externen Server angewiesen und wer
die checks bis zum Greylist überlebt hat und wieder kommt der überlebt in der Regel auch
die RBL's. Eigentlich könnte ich die auch abschalten oder rausnehmen, habe seit 3 Wochen
nur noch einen gehabt der aufgrund eines Eintrages abgelehnt wurde.  

Und von Spam habe ich auch nicht mehr viel gehört von den Kunden. Mit einer oder 2 Spam
Mails in der Woche oder im Monat beschwert sich keiner mehr. 
False positive praktisch keine(habe zumindest noch keine Beschwerden gehört).

> >         check_policy_service inet:127.0.0.1:10023
> > das kann ich im Moment nicht einsortieren was da läuft
> 
> Greylisting.

Ah ja das rennt bei mir auf 60000 

> 
> > das verschafft dem Server ein bissel Zeit was billig rausgeworfen
> > werden kann sollte immer als erstes stehen
> 
> Geht nicht, wenn man konsequent alles umsetzt.

Ich bekomme schon immer zu hören ich wäre zu streng mit den Prüfungen *g

> 
> Peer



-- 
Uwe Drießen
-- 




Mehr Informationen über die Mailingliste Postfixbuch-users