[Postfixbuch-users] MySQL und Restriction für gefälschtes EHLO
Christian Roessner
christian at roessner-net.com
Di Jan 29 14:20:46 CET 2008
Hallo Peer,
> Ich glaube nicht, daß vier Restrictions-Positionen früher oder später
> soviel Zeit sparen, daß Du 75% Deiner Resourcen freibekommst. Die
> unterschiedliche Positionierung in den Restrictions wird über 100.000
> E-Mails vermutlich so gut wie nicht meßbar sein (kann ja mal messen).
da hast Du völlig Recht. Ich hatte unterschlagen, dass ich fail2ban
einsetze. Ich weiß, dass das ohne Verstand der Materie zu fatalen
Problemen führen würde, aber ich habe ein relativ humanes Set an Regeln
definieren müssen, damit die Server nicht absaufen. Ich persönlich hasse
solche Brachialmethoden, aber mir blieb kein anderes mir bekanntes Mittel.
> Ich finde es nur immer etwas gefährlich, wenn solche Configs die auf
> Besonderheiten basieren, dann so kommentarlos veröffentlich werden.
> Andere nutzen das anders, übernehmen sowas per Cut & Paste und holen sich
> dann Probleme ins Haus -- die Du so ggf. nie hattest, wenn Du mynetworks
> de facto nicht benutzt. Okay, könnte Dir egal sein. Aber andererseits
> stellt sich eben doch die Frage: warum nicht gleich generisch so machen,
> daß es immer für alle geht? Warum nicht so machen, daß auch Du es ggf.,
> einfach so für andere Zwecke übernehmen kannst? Man wächst und verändert
> sich ja auch in den Aufgaben.
>
Ich hatte beim Schreiben dieser Mail das Problem, dass sie sowieso sehr
groß zu werden schien. Ich habe aber daraus gelernt, dass es u.U. ganz
wichtig ist, den Verwendungszweck des Setups mit zu erklären. Da war ich
leider etwas nachlässig.
Wegen der Idee, eine Config etwas generischer zu bauen um sie evtl.
öfters verwenden zu können, habe ich permit_mynetworks nun verschoben.
Es unterliegt so nun auch den gleichen Restriktionen wie
permit_sasl_authenticated.
Was permit_tls_clientcerts anging, kam es zu folgendem Problem: Wenn man
diese Restriktion mit dem hier in der Liste sehr stark umstrittenen
sender_login_missmatch veruscht zu kombinieren, dann erntet man
folgenden Fehler des Servers:
Sender address rejected: not logged in
Ich habe für mich nun die Entscheidung getroffen, dass
sender_login_mismatch & Co keine hohe Relevanz haben, da a) Dienste wie
SPF sowieso problematisch sind und b) die Zahl Derer, die mit einer
anderen Absenderadresse verschicken verschwindend gering ist.
>
> Nochmal zum nachfassen: Ich finde diese Punkte sehr wichtig. Für mich
> müssen/sollten sie auf jeden Fall über dem permit für die eigenen Nutzer
> stehen.
Ich kann diese Gedanken gut nachvollziehen. Ich sehe das genauso.
>
> Und: reject_unverified_recipients vor Deinen tls-authentifizierten Mails?
> Das würde bedeuten, daß Postfix susi at web.de verifizieren muß, bevor du
> versenden darfst.
Das war ursprünglich so gewollt. Der Gedanke dahinter war: Vertippt sich
der Absender in der RCPT-TO-Zeile, so sagt ihm schon gleich der eigene
MTA, dass das Ziel erfolglos sein wird. Verschicke ich die Mail ohne
Prüfung, so könnte ja der Remote-MTA nur ein 45x produzieren (Weil
vielleicht das Mail-Konto noch gar nicht eingerichtet wurde; und es
wegen des Tippfehlers wohl auch nie wird). Konsequenz wäre, dass der
Kunde nun denkt: Meine Mail ist ja angenommen worden und versandt. Da
für viele Mail so wichtig ist, wollte ich dort eine DAU-Sicherheit einbauen.
>>>> check_policy_service inet:127.0.0.1:12525
>>> Angenommen es gibt einen Dir wichtigen Client, den Du vom
>>> Policyd-Weight ausnehmen willst. Wie richtest Du ein whitelisting
>>> ein? Das sieht Deine Config nicht vor. Also schneidest Du Dir ohne
>>> Notwendigkeit Deine Handlungsmöglichkeiten ab.
>> Das ist ein gutes Argument. Wie könnte ich das etwas dynamischer
>> konfigurieren? Über FILTER in einer extra Datei?
>
> Nein, über die richtige Reihenfolge in den Restricitions.
>
> Ich glaube, ich habe da vor einigen Wochen mal einen längeren
> grundsätzlichen Artikel zur optimalen Restriction hier dazu geschrieben.
> ich schau mal, ob ich den gleich noch wiederfinde, dann muß ich nicht
> alles neu tippen. :-)
Das wäre natürlich zuckerst. Würde mich freuen.
>> Was mein Thema angeht: Ich habe heute ca. 10 Stunden dran gesessen und
>> mir ein Skript gebaut, was mir Flat-Files aus der MySQL-DB erzeugt. Hat
>> auch den Vorteil, dass ich a) den MySQL-Server stark entlaste und b)
>> einen Single-Point-of-Failure weniger habe.
>
> Jau, lokale Dateien sind aus Sicht der Stabilität und Performance immer
> besser. Wenn man auf Echtzeit-Daten verzichten kann, sind lokale Dateien
> das Mittel der Wahl.
Das hat mich von Anfang an an syscp so genervt. War leider Werkvertrag
:-( (Hoffe, ich sage da jetzt nicht den falschen juristischen Begriff)
> Sorry, Entschuldigung. Ich wollte dir damit nicht auf die Füße treten, ich
> akzeptiere gerne, daß ich hier offensichtlich zu brachial reingegangen
> bin. Sorry -- ich erkläre das leider zweimal am Tag irgendwem, da wird
> man irgendwann "hart" in seinen Antworten, gerade wenn man das im Akkord
> alles abarbeitet -- und ich gelobe hiermit Besserung. Auf die Füße treten
> wollte ich Dir keinesfalls, das tut mir ernsthaft leid und war nicht so
> gemeint.
Vielen lieben Dank.
Grüße
Christian
--
Roessner Network Solutions (R.N.S.)
Licher Str. 19a
35394 Gießen
USt-IdNr.: DE225643613
Fon: +49 641 2097252
Fax: +49 641 2097253
Mobil: +49 171 3611230
URL: http://www.roessner-net.com/
PGP: http://www.roessner-net.com/0x6B929997.asc
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : signature.asc
Dateityp : application/pgp-signature
Dateigröße : 252 bytes
Beschreibung: OpenPGP digital signature
URL : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20080129/630025c2/attachment.asc>
Mehr Informationen über die Mailingliste Postfixbuch-users