[Postfixbuch-users] smtpd_recipient_restrictions - Optimierungspotential

[Sandy Drobic]

Uwe Kiewel wrote:

>>> reject_rhsbl_client blackhole.securitysage.com
>>> reject_rhsbl_sender blackhole.securitysage.com,
>>> reject_rbl_client blackholes.easynet.nl,
>>> reject_rbl_client cbl.abuseat.org,
>>> reject_rbl_client proxies.blackholes.wirehub.net,
>>> reject_rbl_client bl.spamcop.net,
>>> reject_rbl_client sbl.spamhaus.org,
>>> reject_rbl_client dnsbl.njabl.org,
>>> reject_rbl_client list.dsbl.org,
>>> reject_rbl_client multihop.dsbl.org,
>> Die Liste der RBLs würde ich noch einmal durchgehen und kontrollieren,
>> wieviel die wirklich zum Antispam beitragen.
>> zen.spamhaus.org etwa enthält die cbl.abuseat.org und die
>> sbl.spamhaus.org.  Zusätzlich noch xbl.spamhaus.org und dynalist.njabl.org.
>>
>> Spamcop ist etwas hart. Die würde ich nicht generell für einfach alle
>> einsetzen.
> 
> In wie fern zu hart? Würde es (auch) was bringen, wenn ich mein Postfix
> Log durchforste, welche RBL wie viele Abweisungen bringt?

Es geht nicht um die Zahl der abgelehnten Emails sondern um die Zahl der
erwünschten Emails, die von der RBL abgewiesen wurden. Spamcop ist
effektiv, aber leider auch etwas aggressiv. Auf diese Weise landen dort
auch häufig Backscatter-Quellen in der Liste, was ausdrücklich erwähnt wird.

>> Generell gilt, dass jede Konfiguration die eigenen Bedürfnisse erfüllen
>> muss. Du musst also erst einmal analysieren, was für Clients bei dir Spam
>> einliefern und ob die für dich erwünschten Server nicht manchmal genauso
>> mies aussehen wie die Spammer.
> 
> Auf den ersten Blick auffallend sind dial-up Adressen, ehemalige
> Accounts und "Schrott" in der eMail-Adresse im local Part.

Dafür ist Greylisting, policyd-weight, und Dialup-RBLs wie
pbl.spamhaus.org (enthalten in zen.spamhaus.org).

>> Es gibt eine Reihe von Checks, die einigermaßen sicher sind, andere
>> wiederum sind für die meisten Postmaster akzeptabel, für einige eben nicht.
>>
>> Die meisten verwenden z.B.
>> # Postfix >= 2.3
>> reject_non_fqdn_helo_hostname
>> reject_invalid_helo_hostname
>> # Postfix <2.2
>> reject_non_fqdn_hostname
>> reject_invalid_hostname
> 
> Kann man die HELOS/EHLOS im Log sichtbar machen?

Nur, wenn die Mail abgewiesen wird. Nicht bei angenommenen Mails, da steht
das Helo nur im Header.

>> Diese beiden werden schon einen großen Teil des Spams abwürgen, und es
>> sind sehr billige Checks (keine externen Abfragen notwendig).
>>
>> Dazu kommt noch das Ablehnen des eigenen Hostnamens/IP im HELO
> 
> Funktioniert nicht bei mir, da auf den Mailserver MaiaMailguard läuft
> und beim release einer Mail aus der Quarantäne ja die eigene IP/der
> eigene Hostname der einliefernde ist - oder doch Denkfehler?
> 
>> check_helo_access hash:/etc/postfix/helo_rejectlist
>>
>> /etc/postfix/helo_rejectlist:
>> 1.2.3.4			reject do no use my IP as HELO!
>> host.example.com	reject do not use my hostname as HELO!

Dieser Check muss natürlich erst nach reject_unauth_destination kommen, wo
Mails von localhost nicht drin sind. (^-^)

smtpd_recipient_restrictions =
	permit_mynetworks,
	permit_sasl_authenticated,
	reject_unauth_destination,
	check_helo_access hash:/etc/postfix/helo_rejectlist
	check_sender_mx_access cidr:/etc/postfix/sendermx_private_ip

>> Der Rest ist dann das Ausarbeiten von Feinheiten, die nur mit Kenntnis der
>> lokalen Gegebenheiten möglich ist.
> 
> Nichts großes... 3 Domains und dbmail als Backend. Im Juni ware es
> bisher 9392 erfolgreich eingelieferte/gesendete Mails und 8563 rejected
> Mail.

Ich meine damit eher, ob die einliefernden Clients gut eingerichtet sind,
alle einen sauberen reverse DNS haben oder ob dort auch so viele schäbig
eingerichtete Server dabei sind, dass Checks wie
reject_unknown_client_hostname nicht anwendbar sind.



-- 
Sandy

Antworten bitte nur in die Mailingliste!
PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com