[Postfixbuch-users] smtpd_recipient_restrictions - Optimierungspotential

[Uwe Kiewel]

Sandy Drobic schrieb:
> Uwe Kiewel wrote:

[...]

>>
>> smtpd_recipient_restrictions =
>>
>> permit_sasl_authenticated
>> permit_mynetworks
>> reject_unlisted_recipient
>> reject_unauth_destination
>> reject_unknown_recipient_domain
> 
> Hinter reject_unauth_destination wirst du nur noch deine eigenen Domains
> damit ablehnen. Sollte das vielleicht eher reject_unknown_sender_domain sein?

Hm macht Sinn, deine Aussage. Muss ich ändern.

> 
>> reject_rhsbl_client blackhole.securitysage.com
>> reject_rhsbl_sender blackhole.securitysage.com,
>> reject_rbl_client blackholes.easynet.nl,
>> reject_rbl_client cbl.abuseat.org,
>> reject_rbl_client proxies.blackholes.wirehub.net,
>> reject_rbl_client bl.spamcop.net,
>> reject_rbl_client sbl.spamhaus.org,
>> reject_rbl_client dnsbl.njabl.org,
>> reject_rbl_client list.dsbl.org,
>> reject_rbl_client multihop.dsbl.org,
> 
> Die Liste der RBLs würde ich noch einmal durchgehen und kontrollieren,
> wieviel die wirklich zum Antispam beitragen.
> zen.spamhaus.org etwa enthält die cbl.abuseat.org und die
> sbl.spamhaus.org.  Zusätzlich noch xbl.spamhaus.org und dynalist.njabl.org.
> 
> Spamcop ist etwas hart. Die würde ich nicht generell für einfach alle
> einsetzen.

In wie fern zu hart? Würde es (auch) was bringen, wenn ich mein Postfix
Log durchforste, welche RBL wie viele Abweisungen bringt?

> 
>> check_policy_service inet:127.0.0.1:2501

Nur als Info: Das ist sqlgrey

> 
> Generell gilt, dass jede Konfiguration die eigenen Bedürfnisse erfüllen
> muss. Du musst also erst einmal analysieren, was für Clients bei dir Spam
> einliefern und ob die für dich erwünschten Server nicht manchmal genauso
> mies aussehen wie die Spammer.

Auf den ersten Blick auffallend sind dial-up Adressen, ehemalige
Accounts und "Schrott" in der eMail-Adresse im local Part.

> 
> Es gibt eine Reihe von Checks, die einigermaßen sicher sind, andere
> wiederum sind für die meisten Postmaster akzeptabel, für einige eben nicht.
> 
> Die meisten verwenden z.B.
> # Postfix >= 2.3
> reject_non_fqdn_helo_hostname
> reject_invalid_helo_hostname
> # Postfix <2.2
> reject_non_fqdn_hostname
> reject_invalid_hostname

Kann man die HELOS/EHLOS im Log sichtbar machen?

> 
> Diese beiden werden schon einen großen Teil des Spams abwürgen, und es
> sind sehr billige Checks (keine externen Abfragen notwendig).
> 
> Dazu kommt noch das Ablehnen des eigenen Hostnamens/IP im HELO

Funktioniert nicht bei mir, da auf den Mailserver MaiaMailguard läuft
und beim release einer Mail aus der Quarantäne ja die eigene IP/der
eigene Hostname der einliefernde ist - oder doch Denkfehler?

> 
> check_helo_access hash:/etc/postfix/helo_rejectlist
> 
> /etc/postfix/helo_rejectlist:
> 1.2.3.4			reject do no use my IP as HELO!
> host.example.com	reject do not use my hostname as HELO!
> 
> Ebenso alle Clients abweisen, die eine Absenderdomain verwenden, wo der MX
> in einem privaten Adressbereich liegt. Dann ist es ohnehin nicht möglich,
> eine Antwort zu schicken.
> 
> check_sender_mx_access cidr:/etc/postfix/sendermx_private_ip
> 
> /etc/postfix/sendermx_private_ip:
> 127.0.0.0/8	reject mx for senderadress is localhost!
> 10.0.0.0./8	reject mx for senderadress is in private address space!
> #....usw.
> 
> Das sind so die Standard-Ratschläge, die einen schon recht weit bringen.
> Ich habe noch eine kleine Liste mit Hostnamen, die eindeutig Dialup-Hosts
> sind, die ich ebenfalls direkt ablehne.
> 
> Greylisting und Policyd-weight von Robert sollten nicht mehr viele Spams
> übrig lassen.
> 
> Der Rest ist dann das Ausarbeiten von Feinheiten, die nur mit Kenntnis der
> lokalen Gegebenheiten möglich ist.

Nichts großes... 3 Domains und dbmail als Backend. Im Juni ware es
bisher 9392 erfolgreich eingelieferte/gesendete Mails und 8563 rejected
Mail.

Vielen Dank für die ausführliche Analyse!

UWe