[Postfixbuch-users] Sinvolle Reihenfolge der Checks

[Andre Keller]

Sandy Drobic schrieb:
> Zunächst solltest du mal die Denkarbeit erledigen. Nimm ein Blatt Papier
> und liste auf, welche Policies du für welche Clients/Absender/Empfänger
> präzise durchsetzen willst.

Ich habe mir schon einige Gedanken gemacht:
- Das Hauptziel ist möglichst keine False-Positives. Lieber ein SPAM 
mehr als ein wichtiges Mail weniger.

- Greylisting, habe ich auf einem Produktivserver im Einsatz und es hat 
schon ziemlich was gebracht, daher gehört das bestimmt zu den 
eingesetzen Mittel. Damit möchte ich vorallem verhindern, dass 
irgendwelche SPAM Skripts Mails auf dem Server absetzen.

- Die durch den Mailserver gelaufenen Mails sollten möglichst Virenfrei 
sein. Daher Virenscan per ClamAV und Amavisd-New (ev. später noch ein 
zusätzlicher Scanner)

- Viele SPAM Mails mit Online Casino und Viagra und Rolex und und und. 
Daher SpamAssasin (auch über Amavisd-New) mit moderater Einstellung 
(welche Score weiss ich noch nicht so genau). Auch sind viele SPAM Mails 
welche mich zurzeit erreichen Mails mit gifs oder jpegs (bildspam). 
Daher FuzzyOCR Plugin für Spamassasin.

- Clients welche per SMTP-Auth einliefern sollen von den restrictions 
(und vorallem vom Greylisting) ausgenommen werden _nicht_ jedoch vom 
Virenscan.

- Auch sollten Mailserver welche sich nicht an die RFCs halten (so wie 
ich versehentlich mit dem Greylisting;)) möglichst ferngehalten werden 
(non_fqdn...)

- Es soll die Möglichkeit bestehen einzenlne Netze oder Adressen 
explizit zu sperren resp. zu erlauben. Das heisst eigene 
Black/Whitelists zu definieren.

> Zu den RBLs: relays.ordb.org ist tot, sbl.spamhaus.org ist zwar noch
> aktiv, aber du solltest überlegen, ob du nicht lieber zen.spamhaus.org
> verwenden möchtest.

Ich habe mal die Policys angeschaut von den einzelnen Listen. Ich weiss 
noch nicht so recht ob ich PBL auch einsetzen möchte. Aber auf jedenfall 
werde ich xbl.spamhaus.org dazunehmen


Patrick Ben Koetter schrieb:
 > Hast Du Ausnamelisten für postmaster und abuse? Diese Adressen musst 
Du immer
 > annehmen - sonst ist Dein Mailserver nicht mehr RFC-konform.

Nein daran habe ich nicht gedacht. Ich werde das ändern.


Ich hoffe die Konfiguration der smtpd_recipient_restrictions und 
content_filter welche ich gepostet habe, kommen meinen Zielsetzungen 
möglichst nahe.

Ich hoffe mit diesen Ausführungen könnt Ihr mich betreffend Mängel oder 
überflüssigen besser beraten

Danke auf jedenfall für die bisherigen Antworten...


Gruss André