[Postfixbuch-users] Sortierung der smtpd_recipient_restrictions
Christian Garling
christian at cg-networks.de
Mo Jul 16 15:08:35 CEST 2007
> Also ich habe es so gelöst: (Vielleicht hilft dir das was.)
>
> smtpd_recipient_restrictions =
> reject_non_fqdn_recipient
> reject_non_fqdn_sender
> reject_unknown_sender_domain
> reject_unknown_recipient_domain
> permit_mynetworks
> permit_sasl_authenticated
> reject_unauth_destination
> check_recipient_access hash:/etc/postfix/schwarze_liste
> check_recipient_access hash:/etc/postfix/roleaccount_exceptions
> reject_multi_recipient_bounce
> check_helo_access pcre:/etc/postfix/helo_checks
> # reject_non_fqdn_hostname
> reject_invalid_hostname
> warn_if_reject reject_rbl_client dnsbl-1.uceprotect.net
> reject_rbl_client zen.spamhaus.org
> check_sender_mx_access cidr:/etc/postfix/bogus_mx
> check_client_access regexp:/etc/postfix/filter-catchall.regexp
>
> Ob das jetzt so perfekt ist oder nicht weiss ich nicht. Im groben
> richtet sich es aber nach dem Postfixbuch von R. Hildebrandt.
>
> Gruß
>
>
> Maximilian
>
>
>
>
>
>
> Christian Garling schrieb:
>>> Am Montag, 16. Juli 2007 13:03 schrieb Christian Garling:
>>>
>>>
>>>
>>>> ich habe gerade einmal meine smtpd_recipient_restrictions neu
>>>> geordnet und dabei möglichst versucht, das ganze nach Kosten zu
>>>> sortieren.
>>>>
>>> Pfeif auf die Kosten.
>>>
>>> Außerdem klappt das logisch nicht!
>>>
>>>
>>>> smtpd_recipient_restrictions = permit_mynetworks,
>>>> permit_sasl_authenticated,
>>>>
>>> Warum dürfen Deine Nutzer
>>>
>>> a) Mit kaputten, nicht existenten Absender-Domains raussenden? Oder
>>> nicht-FQDN-Domains raussenden?
>>> b) Warum dürfne sie an nicht-existente/nicht-FQDN.-Zieldomains
>>> raussenden?
>>> c) Tust Du Deinen Nutzern damit einen Gefallen? Nein!
>>>
>>>
>>>> header_checks pcre:/etc/postfix/header_checks,
>>>> body_checks pcre:/etc/postfix/body_checks
>>>>
>>> Das gibt's in den Restrictions übrigens gar nicht.
>>>
>>>
>>>> Sieht die Reihenfolge so OK aus? Irgendwas wichtiges vergessen? Ich
>>>> möchte möglichst ressourcenschonendend arbeiten, hoffe das ist mir
>>>> damit gelungen.
>>>>
>>> Mailschleife und Bounces verursachen mehr Kosten, als ein paar
>>> DNS-Abfragen. Man kann hier nicht resourcenschonen arbeiten. Sorge
>>> dafür, daß auch Deine Nutzer Müll gar nicht erst loskriegen. Dann sind
>>> sie Dir auch dankbar und Mails gehen nicht so leicht verloren.
>>>
>>> Mit freundlichen Grüßen
>>>
>>> Peer Heinlein
>>>
>>>
>>> --
>>> Heinlein Professional Linux Support GmbH
>>> Linux: Akademie - Support - Hosting
>>>
>>> http://www.heinlein-support.de
>>> Tel: 030 / 40 50 51 - 0 *** Fax: - 19
>>>
>>> Die 3. Mailserver-Konferenz am 2./3. Juli 2007
>>> http://www.heinlein-support.de/mk
>>>
>>> Zwangsangaben lt. §35a GmbHG:
>>> HRB 93818 B / Amtsgericht Berlin-Charlottenburg,
>>> Geschäftsführer: Peer Heinlein -- Sitz: Berlin
>>> --
>>> _______________________________________________
>>> Postfixbuch-users -- http://www.postfixbuch.de
>>> Heinlein Professional Linux Support GmbH
>>>
>>> Postfixbuch-users at listi.jpberlin.de
>>> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
>>>
>>>
>>
>> Also header_checks und body_checks als eigene Direktive in die main.cf
>> und
>> permit_sasl_authenticated sowie reject_unauth_destination ans Ende
>> setzen
>> und die Welt ist in Ordnung?
>>
>> Gruß,
>>
>> Christian
>>
>>
>>
>
> --
> _______________________________________________
> Postfixbuch-users -- http://www.postfixbuch.de
> Heinlein Professional Linux Support GmbH
>
> Postfixbuch-users at listi.jpberlin.de
> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
>
Vielen Dank, werde ich mir mal in Ruhe ansehen. Diese Restriktionen haben
immer was von einer Wanderung auf dem schmalen Grat zwischen Sicherheit
und sich selbst die Türe vor der Nase zuschlagen.
Jedenfalls ist es mir lieber 1-2 "dumme" Fragen mehr zu stellen, als mit
einem schlecht konfigurierten Mailserver dar zustehen :-)
Gruß,
Christian
Mehr Informationen über die Mailingliste Postfixbuch-users