[Postfixbuch-users] Postfix UCE einrichten

[Sandy Drobic]

Stipo wrote:
>> Stipo schrieb:

>> Alle Restriktionen sollten unter
>> smtpd_recipient_restrictions
>> zusammengefasst werden, 1 maliger Aufruf, einmalige Prüfung, nur eine
>> Restriktionclass die
>> man kontrollieren muß. (best practice)

Kurze Anmerkung: der wichtigste Grund ist, dass es dann viel einfacher ist, 
die Konfiguration zu überblicken, da die Checks in der Reihenfolge 
abgearbeitet werden, in der sie hier stehen.

> Dann korrigiere ich das in diese Form:

> smtpd_recipient_restrictions =
>      permit_mynetworks
>      reject_unknown_sender_domain
>      reject_non_fqdn_sender
>      reject_non_fqdn_recipient
>      permit_sasl_authenticated
>      reject_unauth_destination
>      reject_unknown_client
>      reject_invalid_hostname
>      reject_unknown_hostname
>      reject_non_fqdn_hostname 
>      check_policy_service inet:127.0.0.1:60000
> 
> Stimmt hier dann wenigstens die reihenfolge in der die Prüfungen
> durchgeführt werden? 

Siehe meine andere Mail zu Anmerkungen.

> Body und Header Checks habe ich bis dato noch nicht in betracht gezogen zu
> prüfen. 

Das ist in Ordnung, da diese Checks sparsam und sorgfältig eingesetzt werden 
sollen. Außerdem wurde die Mail an diesem Punkt komplett empfangen und hat die 
Leitung entsprechend belastet. Da man Mails nicht selektiv von den Body- oder 
Header_Checks ausnehmen kann, muss man entsprechend vorsichtig bei der 
Formulierung sein.

>> wenn du configs postest dann bitte postconf -n (dann muß die Liste nicht
>> auf Schreibfehler
>> achten).
> Habe ich dort schreibfehler drinne? Wenn ja, dann bitte immer her damit :)

Der Punkt ist, dass Postfix falsch geschriebene Anweisungen weglässt und die 
Ausgabe von "postconf -n" diese falsch geschriebenen Anweisungen deshalb nicht 
enthält. Darum ist es einfacher, "postconf -n" zu durchsuchen als eine Konfig, 
in der vielleicht einige Schreibfehler enthalten sind oder wo an andere Stelle 
die Konfig verändert wird durch eine spätere Angabe.

>> Wir wissen immer noch nicht mit welchen Mails, woher du Probleme hattest
>> und welcher Art
>> dein Server ist(ISP, Privat, Firma)
> 
> Das habe ich eben in einer anderen Mail beantwortet. Was ich aber nicht
> verstehe, was ihr mit der Art der Spam Mails meint. 
> Es geht bei mir um die ganzen Viagra und Co Mails, welche die Postfächer
> immer zumüllen.

Meistens ist die wirksamste Art, diesen Spam zu bekämpfen, das Einliefern von 
Mails von dynamischen IPs zu verbieten. Über diese dynamischen IPs wird ein 
Großteil des Spams verteilt. Dies kann über eine passende Blacklist geschehen, 
über eine Mustersuche beim Clientnamen, die dynamische Clients aussondert, 
aber auch über Policyserver wie policyd-weight.

Ein weiterer Trick ergibt sich, wenn du Einfluß auf das DNS hast:
viele Spam-zombies werten nur den ersten DNS-eintrag für MX aus, deshalb kann 
es ausreichen, einen toten MX als ersten MX-Eintrag zu setzen und den echten 
Server erst als zweite Priorität einzutragen. Das hat bei mir etwa 90% der 
Spamversuche direkt abgewürgt. Ein weiterer Vorteil ist, dass im Gegensatz zu 
Greylisting keine Verzögerung eintritt, da der normale Mailserver direkt den 
nächsten MX ansteuert. Bisher habe ich auch keine Beschwerden gehört, dass 
Mails unseren Server nicht erreicht haben, die False Positive Rate ist also 
ebenfalls sehr klein.
http://nolisting.org

-- 
Sandy

Antworten bitte nur in die Mailingliste!
PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com