[Postfixbuch-users] check _client_access maps für dyn. IP, produktiv einsetz bar ?

[Sandy Drobic]

Ronny Forberger wrote:
> Hallo,
> 
> ich habe mal eine technische Frage zu Postfix und dyn. IPs:
> 
> Gibt es die Möglichkeit generell Connects von dynamischen IPs bei Postfix
> (ggf. mit einer Meldung) zu verbieten, so dass nur MTAs mit statischen IPs
> einliefern dürfen ?

Gehen tut das. Das Problem ist jedoch die Erkennung dieser dynamischen
IP-Bereiche. Die Methoden reichen über RBLs, welche dynamische IPs blocken
bis zur Auswertung von dem reverse_dns-Namen. Wer keinen hat, wird direkt
geblockt, wer einen reverse DNS mit vielen Nummern hat, der wird geblockt
oder zumindest mit Greylisting "bestraft".

> Machen ja mittlerweile viele und wir haben viele Spam-Einlieferungen von
> gerade dyn. IPs.

Dann nimm lieber Greylisting, das wirkt sehr gut bei Spam-Zombies. Auch
policyd-weight sollte da sehr helfen.

> 
> Ich habe Einiges dazu gelesen und es soll check_client_access maps gehen,
> aber was passiert dann mit unseren Nutzern, die über unseren MTA
> (wohlgemerkt mit Authentifzierung) Mails verschicken wollen und mit einer
> dyn. IP kommen?

Dann sollte ein "permit_sasl_authenticated" die Prüfung stoppen, bevor ein
"reject_unauth_destination", geschweige denn ein "reject_rbl_client ..."
den Spaß verdirbt.

> Und was passiert, wenn der Blacklist-Dienst mal ausfällt, läuft mein
> Postfix dann normal weiter (ohne Checkins).

Wenn die RBL ausfällt, gibt es DNS-Timeouts, Mails können verzögert
werden, die Leistung des Mailservers kann leiden. Im schlimmsten Fall kann
die Übertragung des Clients in den Timeout gehen, so dass die Mail nicht
angenommen wird. Die Timeouts einer RBL allein reichen jedoch nicht, wenn
du nicht sehr kurze Timeouts definierst.



-- 
Sandy

Antworten bitte nur in die Mailingliste!
PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com