[Postfixbuch-users] habe ich da was falsch gemacht ?

Sandy Drobic postfixbuch-users at japantest.homelinux.com
Sa Jan 20 17:52:12 CET 2007


Uwe Driessen wrote:
> Sandy schrieb :
>> Ist eine Firewall vorgeschaltet, wenn ja, welche? Wie ist der Server ans
>> Internet angeschlossen?
> Es laufen Tiger, Snort und Fail2ban in Verbindung mit iptables letzteres
> allerdings nur für SSH

Fail2ban würde ich erst einmal ausschließen als Ursache, Tiger und Snort 
kämen da eher in Frage, ich habe aber nicht genügend Erfahrung mit den 
Tools, um das zu testen.

> 
> Die IP Adressen derer die Verbindung nicht aufbauen habe ich nicht im
> Snort.log  und auch nicht bei IP-Tables gefunden.

Das ist schon mal gut. (^-^)

> 
>>> Jan 20 02:58:02 fblan postfix/smtpd[22887]: connect from
>>> host81-158-96-189.range81-158.btcentralplus.com[81.158.96.189]
>>> Jan 20 02:58:02 fblan postfix/smtpd[22887]: lost connection after
>> CONNECT
>>> from host81-158-96-189.range81-158.btcentralplus.com[81.158.96.189]
>>> Jan 20 02:58:02 fblan postfix/smtpd[22887]: disconnect from
>>> host81-158-96-189.range81-158.btcentralplus.com[81.158.96.189]
>>> Jan 20 02:58:37 fblan postfix/smtpd[22853]: disconnect from
>>> mxpool02.ebay.com[66.135.197.8]
>> Wieviele smtpd sind in master.cf bei dir eingestellt?
> 
> Standart müssten also 100 sein 
> 
> # ==========================================================================
> # service type  private unpriv  chroot  wakeup  maxproc command + args
> #               (yes)   (yes)   (yes)   (never) (100)
> # ==========================================================================
> smtp    inet    n       -       -       0       -       smtpd

Das sieht ja völlig normal aus.

> -------Master.cf
> 
> smtp-amavis unix -      -       n        -      3       smtp
>         -o smtp_data_done_timeout=1200
>         -o disable_dns_lookups=yes

Wird dieser Eintrag bei dir auch verwendet und stimmt er überein mit der 
Zahl der amavisd-Prozesse in /etc/amavisd.conf? Dann müsstest du in der 
main.cf einen Eintrag "content_filter = smtp-amavis:[127.0.0.1]:10024" haben.

> Und es sind nur noch 4 Übrig
>    reject_rbl_client combined.njabl.org,
>    reject_rbl_client zen.spamhaus.org,
>    reject_rbl_client list.dsbl.org,
>    reject_rhsbl_sender dsn.rfc-ignorant.org

DAS sieht schon viel besser aus. (^-^)

>> Postgrey ist ein Perlscript, du kannst dort direkt die Option ändern.
>> Suche einfach mal nach "defer_if_permit" und ersetze es durch "defer".
>> Dann testen, ob der defer sauber kommt. Bei mir mit Policyd musste ich
>> statt "defer_if_permit" nur "450" setzen, um einen direkten Tempreject zu
>> bekommen.

> greylist_action  => $opt{'greylist-action'} || '450'
> scheint zu laufen 
> gestartet hat postgrey zumindest mal und der erste grylist ist schon im
> logfile 

Du kannst das sehr einfach überprüfen, indem du hinter dem Aufruf des 
Policyservers einen check setzt, der einen Eintrag ins Log schreibt:

smtpd_recipient_restrictions =
	permit_mynetworks,
	permit_sasl_authenticated,
	reject_unauth_destination,
	check_policy_server ...
    warn_if_reject check_client_access pcre:/etc/postfix/clients_after_gl

/etc/postfix/clients_after_gl:
/(.)/	reject Host $1 has passed Greylisting!



>> Welche Wegwerf-Domains?
>  
> higherambitions.net
> progressingforward.com
> bluebonnetfields.com
> 
> das waren die von heute morgen über die Woche verteilt werden von der Sorte
> so in etwa 500 abgelehnt.
> Das sind alles Domainnamen welche über den gleichen DynDNS-Anbieter sogar
> mit MX record kommen und immer mit anderer IP.(da hab ich dann einfach das
> ganze Netz gesperrt ist evtl etwas brutal aber bis das ich eine bessere
> Lösung finde muß es das tun.
> Macht allerdings einen Haufen Arbeit die rauszufischen denn da greift bis
> dato keine RBL und auch ansonsten kein Filter bei den Jungs.
> Evtl. hat mal jemand einen Filter gebaut welcher auf den Auth DNS Server
> zielt das alles was von dort kommt abgelehnt werden kann.
> Und die Domainnamen wechseln ständig und nach einer Woche verschwinden die
> Domains auch wieder. 
> alle landen auf einer so oder so ähnlichen aussehenden HP mit dem Hinweis :

Hast du dir schon einmal die Checks check_sender_mx_access und 
check_sender_ns_access angesehen? Damit kannst du abfragen, welcher MX und 
NS für die Absender-Domain verwendet wird. Wenn ich mich recht erinnere, 
hatte einer auch einen milter entworfen, der das Alter der Domain prüfte 
und bei weniger als 7 Tagen einen reject auslöste.

>> Verlasse dich bitte nicht darauf, dass Mailserver anderer Leute korrekt
>> und robust eingerichtet sind. Ich habe schon mehr als einen Server erlebt,
>> der nicht zustellbare Mails direkt löschte und KEINE Nachricht an den
>> Absender schickte.
> 
> Jap das da so einige der Server der ganz großen jeden sch..... annehmen und
> auch noch weiterleiten kenne ich von dem rosa 99% spam 1% echte mails und
> dann ca. 80 Mails am Tag und die Adresse war noch nicht mal irgendwo
> publiziert*gg 

Frage mal viele Hotmail- und MSN-Kunden, die scheinen auch Mails 
anzunehmen und kommentarlos zu löschen in einigen Fällen.

>> Ich habe etwa 1-3 Prozent Spam dabei auf unserem Firmenserver, aber die
>> Optimierung ist auch eindeutig die Zustellung erwünschter Mails und nicht
>> die Spambekämpfung (kein allgemeines, nur selektives Greylistung und
>> konservative RBLs, keine Checks, die mehr als eine Handvoll
>> Whitelist-Einträge erfordern).
> 
> Da versuche ich hinzukommen 

Taste dich langsam heran. Jeder muss für seine Situation die passenden 
Filter suchen. Meine Rezepte sind für deine Situation vielleicht nicht die 
optimale Lösung.

Sandy
-- 
Antworten bitte nur in die Mailingliste!
PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com




Mehr Informationen über die Mailingliste Postfixbuch-users