[Postfixbuch-users] HELO-Prüfungen

[Martin Schütte]

Michael Hentsch schrieb:
> 1. Können in der Lookup-Datei für "check_helo_access" auch IP-Adressen 
> und IP-Adressbereiche (z.Bsp. 192.168.0.0/8) aufgeführt werden, oder nur 
> Domain-Namen?

Kommt auf die Art der Tabelle an. Ggf. musst Du eine cidr:-Tabelle für 
die IP-Bereiche und eine hash:-Tabelle für die Domainnamen benutzen.

Ich benutze für check_helo_access eine regexp Tabelle; damit lehne ich 
einerseits reine IPs ab und zum anderen Variationen meiner eigenen Domains:
/[0-9]$/            REJECT Please use a correct FQDN in your HELO/EHLO
/^localhost$/       REJECT go away
/^mschuette\.name$/ REJECT go away

> 2. Wenn ich vor "check_helo_access" die Restriction 
> "reject_non_fqdn_helo_hostname" verwende, hat es ja keinen Sinn mehr, 
> auf IP´s zu prüfen.
> Ist es nun aber sinnvoll, als HELO-Angabe nur FQDN´s zu akzeptieren, 
> werden nicht zu oft IP´s von seriösen, aber fehlerhaft konfigurierten 
> Mailservern versendet?

Auch mit reject_non_fqdn_helo_hostname sind IP-Literale noch zulässig.
Auch schlecht konfigurierte Mailserver sollten noch soweit RFC-konform 
sei dass sie "HELO [10.1.2.3]" anstatt "HELO 10.1.2.3" senden...

> 3. "reject_invalid_helo_hostname" lehnt Sender mit fehlerhaften 
> HELO/EHLO-Syntax ab. Was aber wird dabei geprüft, was nicht schon von 
> "reject_non_fqdn_helo_hostname" geprüft wurde?

Wenn es keine Regeln für nicht-FQDN HELOs gibt (z.B. 
Benutzer-Authentifizierung) dann ist reject_invalid_helo_hostname 
überflüssig und wird von reject_non_fqdn_helo_hostname mitabgedeckt.

-- 
Martin