[Postfixbuch-users] Postfix UCE einrichten
Sandy Drobic
postfixbuch-users at japantest.homelinux.com
Sa Apr 26 23:34:05 CEST 2008
Stipo wrote:
>>>> Stipo wrote:
>>>>> Hallo zusammen,
>>>>>
>>>>> wer kann mir ein gutes HOWTO empfehlen, um den Postfix UCE gerecht
>>>>> einzurichten?
>>
>> Hast du ein Problem dann schick log's und config an die Liste.
>> Ein einzelnes Problem oder ein Mittel gegen bestimmte UBE/UCE wird man
>> immer nennen können
>> aber nicht allgemein.
>> Ich nehme mal an das man bei 100 Mailservern von 100 Administratoren 100
>> unterschiedliche
>> Herangehensweisen und configs hat also nichts was einfach so in ein howto
>> passt
> Indirekt hatte ich ein Problem mit Spam und der Serverlast. Daher hab ich
> mich entschieden, dass ich die Spam Mails schon im Postfix filtern lassen
> möchte. Mir ist bewusst, dass man solche Probleme über viele Wege lösen
> kann, aber wenn man leichte Anhaltspunkte bekommt, wie man vorgehen kann,
> dann hilft einem das ungemein.
Grundsätzlich ist die Überlegung, soviel wie möglich von unerwünschten
Nachrichten direkt von Postfix (vor der Annahme der Mail) abzulehen, völlig
richtig. Die Schwierigkeit liegt darin, Kriterien zu finden, welche möglichst
effektiv arbeiten und möglichst wenig erwünschte Mails abweisen.
> Gestern habe ich einige Einstellungen aus dem Archiv heraus gelesen und mich
> darüber näher informiert. Im Moment sieht es fast so aus, als das ich den
> Spam mit Postfix Boardmitteln in Griffe bekommen habe.
> Hier mal kurz einen Auszug meiner main.cf:
>
> smtpd_client_restrictions =
> permit_mynetworks
> permit_sasl_authenticated
> check_policy_service inet:127.0.0.1:60000
> smtpd_recipient_restrictions =
> permit_mynetworks
> reject_unknown_sender_domain
> reject_non_fqdn_sender
> reject_non_fqdn_recipient
> permit_sasl_authenticated
> reject_unauth_destination
> reject_unknown_client
> reject_invalid_hostname
> reject_unknown_hostname
> reject_non_fqdn_hostname
Ich schlage vor, das etwas umzustellen:
smtpd_recipient_restrictions =
permit_mynetworks
reject_non_fqdn_sender
reject_non_fqdn_recipient
permit_sasl_authenticated
reject_unauth_destination
reject_unlisted_recipient
check_client_access hash:/etc/postfix/client_whitelist
reject_unknown_sender_domain
# reject_unknown_client
reject_invalid_hostname
# reject_unknown_hostname
reject_non_fqdn_hostname
check_policy_service inet:127.0.0.1:60000
Das "reject_unlisted_recipient" hinter reject_unauth_destination stellt
sicher, dass unbekannte Empfänger in deiner Domain direkt abgewiesen werden.
Damit entlastest du auch den Server von vielen DNS- und Policy-Abfragen von
dahinterliegenden Checks.
Die beiden auskommentierten Checks haben beide ein hohes Risiko, falsch Mails
abzuweisen. Es gibt eine Menge Server, die sich mit "exchange.local" und
ähnlichem Müll im HELO melden. Diese würden dann von
reject_unknown_helo_hostname abgewiesen.
reject_unknown_client_hostname hat ebenfalls das Risiko, insbesondere, wenn
die Mails aus bestimmten Ländern kommen, von denen manche Provider es immer
noch nicht begriffen haben, dass ein Mailserver einen sauberen Reverse DNS
Eintrag braucht.
Auch ein Fehler beim DNS kann dafür sorgen, dass Clients als "unknown" im Log
auftauchen. Wenn dein eigener DNS-Server etwa nicht sauber arbeitet, werden
alle externen Clients abgewiesen. Allein aus dem Grund würde ich die
wichtigsten Server, mit denen man regelmäßig Kontakt hat, in die Whitelist
aufnehmen.
--
Sandy
Antworten bitte nur in die Mailingliste!
PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com
Mehr Informationen über die Mailingliste Postfixbuch-users