[Postfixbuch-users] DynIPs und static IPs

Stephan Budach stephan.budach at jvm.de
Mo Nov 19 19:07:11 CET 2007


Uwe Driessen wrote, On 19.11.2007 17:36 Uhr:
> Stephan Budach schrieb:
>> Moin,
>>
>> ich habe am Wochenende ein neues Postfix Gateway aufgesetzt 
>> und benutze u.a. auch die DynIP-Lösung von Uwe Driessen. Das 
>> Ganze funktioniert soweit sehr gut, allerdings räumen die 
>> DynIP-Checks auch eine ganze Reihe Hosts aus den Weg, die 
>> zwar  in einem Dial-Up Netz liegen, aber trotzdem offenbar 
>> statische Adressen haben.
> 
> einzige möglichkeit das dauerhaft zu unterbinden ist die Regel rauszusuchen die eben diese
> "falsepositiven" verursacht und dann diese deaktivieren.
> 
> Auf das statisch in einem rDNS verlasse ich mich nicht mehr das haben in der zwischenzeit
> auch einige Dialins drin stehen und dennoch wechseln die Rechner dahinter .
> Hast überprüft das das auch wirklich Server dahinter sind die auch evtl. bounces annehmen?
> ich habe hier zur Zeit nur einen der immer mal wieder kommt aber der reagiert auch nicht
> auf Mails die ich an den Postmaster schicke (deswegen wird er auch nicht freigeschalten)  

Ja, das ist bestimmt so, und mein Skript hat mir dann auch heute mal die 61 Adressen ausgeworfen, die zumindest mal irgendwo'static' im rDNS haben. Bei dem einen Server bin ich mir zumnindest mal sicher, dass es ein "echter" ist.

> 
>> Ich habe mir jetzt mit einem kleinen Perl-Skript beholfen, 
>> dass diese Adressen aus dem Log fischt und die so 
>> aufbereitet, dass ich die problemlos in eine Client-Whitelist 
>> übernehmen kann. In meiner Postconf sieht das dann so aus:
> 
> ich schreib die vor die eigentlichen Filter mit einem dunno als antwort direkt in die
> dynip, dann wird der rest der dynip nicht mehr geprüft aber alles was noch danach an
> Prüfungen  von Postfix kommt.(selectives Greylisting, policed weight)

Jaa, das hatte ich mir nämlich eigentlich auch gedacht - deswegen auch noch mal meine Nachfrage, denn ein [IP] OK in der check_client_access bedeutet ja, dass die Checks vorbei sind und somit auch der Greylisting und Amavis umgangen werden, oder?

> 
>> smtpd_recipient_restrictions =
>>  permit_mynetworks,
>>  reject_unauth_destination,
>>  reject_non_fqdn_sender,
>>  reject_non_fqdn_recipient,
>>  reject_unknown_sender_domain,
>>  reject_unknown_recipient_domain,
>>  reject_multi_recipient_bounce,
>>  reject_invalid_helo_hostname,
>>  reject_non_fqdn_helo_hostname,
>>  check_client_access hash:/etc/postfix/rbl-whitelist,
>>  check_sender_access hash:/etc/postfix/sender_access,
>>  check_client_access pcre:/etc/postfix/maps/dynip,
>>  reject_rbl_client        ix.dnsbl.manitu.net
>>  reject_rbl_client        cbl.abuseat.org
>>  reject_rbl_client        list.dsbl.org
>>  reject_unlisted_recipient,
>>  reject_unauth_pipelining,
>>  reject_unknown_reverse_client_hostname,
>>  check_recipient_access hash:/etc/postfix/roleaccount,
>>  check_policy_service inet:127.0.0.1:10023
>>
>> Aber, ist das auch ein vernünftiger Weg?
>>
>> Gruss,
>> Stephan
>>
> 
> 
> Mit freundlichen Grüßen
> 
> Drießen
> 

Mit freundlichem Gruß zurück,
Stephan

-- 
Stephan Budach
Jung von Matt/it-services GmbH
Glashüttenstraße 79
20357 Hamburg

Tel: +49 40-4321-1353
Fax: +49 40-4321-1114
E-Mail: stephan.budach at jvm.de
Internet: http://www.jvm.de

Geschäftsführer: Ulrich Pallas, Frank Wilhelm
AG HH HRB 98380




Mehr Informationen über die Mailingliste Postfixbuch-users