[Postfixbuch-users] smtpd_recipient_restrictions - Optimierungspotential

Sandy Drobic postfixbuch-users at japantest.homelinux.com
Do Jun 28 20:44:47 CEST 2007 

Uwe Kiewel wrote:
> Hi @all,
> 
> ich habe zwar zur Zeit kein Problem mit meinem Postfix, bin aber für
> einen Check dankbar.
> Anbei meine smtpd_recipient_restrictions. Sind die so okay, oder gibt es
> da Optimierungspotential?
> 
> Danke und Grüße
> Uwe
> 
> 
> smtpd_recipient_restrictions =
> 
> permit_sasl_authenticated
> permit_mynetworks
> reject_unlisted_recipient
> reject_unauth_destination
> reject_unknown_recipient_domain

Hinter reject_unauth_destination wirst du nur noch deine eigenen Domains
damit ablehnen. Sollte das vielleicht eher reject_unknown_sender_domain sein?

> reject_rhsbl_client blackhole.securitysage.com
> reject_rhsbl_sender blackhole.securitysage.com,
> reject_rbl_client blackholes.easynet.nl,
> reject_rbl_client cbl.abuseat.org,
> reject_rbl_client proxies.blackholes.wirehub.net,
> reject_rbl_client bl.spamcop.net,
> reject_rbl_client sbl.spamhaus.org,
> reject_rbl_client dnsbl.njabl.org,
> reject_rbl_client list.dsbl.org,
> reject_rbl_client multihop.dsbl.org,

Die Liste der RBLs würde ich noch einmal durchgehen und kontrollieren,
wieviel die wirklich zum Antispam beitragen.
zen.spamhaus.org etwa enthält die cbl.abuseat.org und die
sbl.spamhaus.org.  Zusätzlich noch xbl.spamhaus.org und dynalist.njabl.org.

Spamcop ist etwas hart. Die würde ich nicht generell für einfach alle
einsetzen.

> check_policy_service inet:127.0.0.1:2501

Generell gilt, dass jede Konfiguration die eigenen Bedürfnisse erfüllen
muss. Du musst also erst einmal analysieren, was für Clients bei dir Spam
einliefern und ob die für dich erwünschten Server nicht manchmal genauso
mies aussehen wie die Spammer.

Es gibt eine Reihe von Checks, die einigermaßen sicher sind, andere
wiederum sind für die meisten Postmaster akzeptabel, für einige eben nicht.

Die meisten verwenden z.B.
# Postfix >= 2.3
reject_non_fqdn_helo_hostname
reject_invalid_helo_hostname
# Postfix <2.2
reject_non_fqdn_hostname
reject_invalid_hostname

Diese beiden werden schon einen großen Teil des Spams abwürgen, und es
sind sehr billige Checks (keine externen Abfragen notwendig).

Dazu kommt noch das Ablehnen des eigenen Hostnamens/IP im HELO

check_helo_access hash:/etc/postfix/helo_rejectlist

/etc/postfix/helo_rejectlist:
1.2.3.4			reject do no use my IP as HELO!
host.example.com	reject do not use my hostname as HELO!

Ebenso alle Clients abweisen, die eine Absenderdomain verwenden, wo der MX
in einem privaten Adressbereich liegt. Dann ist es ohnehin nicht möglich,
eine Antwort zu schicken.

check_sender_mx_access cidr:/etc/postfix/sendermx_private_ip

/etc/postfix/sendermx_private_ip:
127.0.0.0/8	reject mx for senderadress is localhost!
10.0.0.0./8	reject mx for senderadress is in private address space!
#....usw.

Das sind so die Standard-Ratschläge, die einen schon recht weit bringen.
Ich habe noch eine kleine Liste mit Hostnamen, die eindeutig Dialup-Hosts
sind, die ich ebenfalls direkt ablehne.

Greylisting und Policyd-weight von Robert sollten nicht mehr viele Spams
übrig lassen.

Der Rest ist dann das Ausarbeiten von Feinheiten, die nur mit Kenntnis der
lokalen Gegebenheiten möglich ist.

-- 
Sandy

Antworten bitte nur in die Mailingliste!
PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com

Mehr Informationen über die Mailingliste Postfixbuch-users