[Postfixbuch-users] Sinvolle Reihenfolge der Checks

[Sandy Drobic]

Andre Keller wrote:
> Sandy Drobic schrieb:
>> Zunächst solltest du mal die Denkarbeit erledigen. Nimm ein Blatt Papier
>> und liste auf, welche Policies du für welche Clients/Absender/Empfänger
>> präzise durchsetzen willst.
> 
> Ich habe mir schon einige Gedanken gemacht:
> - Das Hauptziel ist möglichst keine False-Positives. Lieber ein SPAM 
> mehr als ein wichtiges Mail weniger.
> 
> - Greylisting, habe ich auf einem Produktivserver im Einsatz und es hat 
> schon ziemlich was gebracht, daher gehört das bestimmt zu den 
> eingesetzen Mittel. Damit möchte ich vorallem verhindern, dass 
> irgendwelche SPAM Skripts Mails auf dem Server absetzen.

Ja, Greylisting und Empfängervalidierung weisen den größten Teil von Spam
und Viren ab. Diese können aber nicht verhindern, dass Spam/Viren, die
durch missbrauchte Freemailer-Accounts oder Backscatter-Quellen kommen,
durchgehen werden.

Greylisting ist nicht imstande, Mails abzuweisen, die über mißbrauchte
Scripte (eines Webservers) auf der Kommandozeile eingeliefert werden. Du
kannst jedoch dem Mailserver verbieten, Mails einzuliefern. Dann müsstest
du jedoch eine Ersatzroutine (am besten mit smtp auth) einsetzen, welche
Mails per smtp einliefert.

> - Die durch den Mailserver gelaufenen Mails sollten möglichst Virenfrei 
> sein. Daher Virenscan per ClamAV und Amavisd-New (ev. später noch ein 
> zusätzlicher Scanner)

Das ist kein Problem.

> - Viele SPAM Mails mit Online Casino und Viagra und Rolex und und und. 
> Daher SpamAssasin (auch über Amavisd-New) mit moderater Einstellung 
> (welche Score weiss ich noch nicht so genau). Auch sind viele SPAM Mails 
> welche mich zurzeit erreichen Mails mit gifs oder jpegs (bildspam). 
> Daher FuzzyOCR Plugin für Spamassasin.
> 
> - Clients welche per SMTP-Auth einliefern sollen von den restrictions 
> (und vorallem vom Greylisting) ausgenommen werden _nicht_ jedoch vom 
> Virenscan.

Das Stichwort ist Policy Banks für Amavisd-new. Damit kannst du
verschiedene Policies bestimmen für verschiedene Clients.

> - Auch sollten Mailserver welche sich nicht an die RFCs halten (so wie 
> ich versehentlich mit dem Greylisting;)) möglichst ferngehalten werden 
> (non_fqdn...)

Das ist sehr trickreich, es gibt leider viele Mailserver, die nicht
korrekt eingerichtet sind (kein sauberer Reverse DNS, HELO auf ungültige
Adresse etc.). Da musst du selber die Erfahrung sammeln, welche du
abweist, wieviele du in eine manuelle Whitelist aufnehmen kannst und wo es
sinnvoller ist, einen Check NICHT einzusetzen, weil er zuviele erwünschte
Mails abweist.


> - Es soll die Möglichkeit bestehen einzenlne Netze oder Adressen 
> explizit zu sperren resp. zu erlauben. Das heisst eigene 
> Black/Whitelists zu definieren.

Meinst du auf Serverebene oder auf Benutzer-Ebene?

>> Zu den RBLs: relays.ordb.org ist tot, sbl.spamhaus.org ist zwar noch
>> aktiv, aber du solltest überlegen, ob du nicht lieber zen.spamhaus.org
>> verwenden möchtest.
> 
> Ich habe mal die Policys angeschaut von den einzelnen Listen. Ich weiss 
> noch nicht so recht ob ich PBL auch einsetzen möchte. Aber auf jedenfall 
> werde ich xbl.spamhaus.org dazunehmen

Bisher habe ich noch keine False Positives bei PBL gesehen, aber es gibt
sie sicher wie auch bei jeder anderen Blacklist. Wichtig finde ich vor
allem, dass es sehr einfach ist, das Delisting zu beantragen.

> 
> Patrick Ben Koetter schrieb:
>  > Hast Du Ausnamelisten für postmaster und abuse? Diese Adressen musst 
> Du immer
>  > annehmen - sonst ist Dein Mailserver nicht mehr RFC-konform.
> 
> Nein daran habe ich nicht gedacht. Ich werde das ändern.
> 
> 
> Ich hoffe die Konfiguration der smtpd_recipient_restrictions und 
> content_filter welche ich gepostet habe, kommen meinen Zielsetzungen 
> möglichst nahe.

Mache dir nichts draus, wenn du noch ein paar Monate brauchst, um dich der
gewünschten Konfiguration anzunähern. Es gibt noch einige an Checks,
welche du verwenden kannst. HELO-Checks, sender_mx-Checks u.a.m.

Wichtig ist erst einmal, dass du einen vernünftigen Anfang wählst.

-- 
Sandy

Antworten bitte nur in die Mailingliste!
PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com