[Postfixbuch-users] Sinnvolle SMTP Restrictions

Uwe Walter lists at warp-factor.de
Mo Mär 10 01:33:26 CET 2008 

Hallo beisammen,

da ich neu auf der Liste bin, stelle ich mich kurz vor. Ich bin 36 Jahre 
alt, selbständiger DV Kaufmann und betreibe, bzw. administriere 
verschiedene Rootserver.

Tätig bin ich im Bereich Serverfernwartung, Webprogrammierung und 
Webhosting. Letzteres eher zufällig, weil ich Ende letzten Jahres die 
Chance hatte, auf einen Schlag 35 Domains zu übernehmen.

Leider ist es jedoch so, dass der Server von dem ich die Kunden 
übernommen habe, einerseits sehr schwach (Plesk) konfiguriert war und 
andererseits die Kunden von ihrem ehemaligen Anbieter in keinster Weise 
beraten wurden, wie man schon in einer Internetpräsenz oder durch seinen 
Umgang mit eMail Adressen dafür sorgen kann, dass das zukünftige 
Spamaufkommen eingegrenzt wird.

So ist es derzeit also scheinbar normal, dass für einzelne Domains bis 
zu 100 SPAM eMails pro Domain und Stunde eingehen. Ich habe gedacht ich 
traue meinen Augen nicht, was da auf einmal abgeht. :\

Nun habe ich in meiner Postfix Konfiguration zwar auch die Blacklisting 
Einträge drin, aber ich meine mal irgendwo aufgeschnappt zu haben, dass 
man sich hier hinsichtlich der Performance ins eigene Bein schießen 
kann, weil da möglicherweise Einträge doppelt abgearbeitet werden.

So wurde mir beispielsweise von einem Kunden berichtet, dass bei ihm der 
eMail Verkehr sehr viel besser klappt, seit er bei mir am Server ist (er 
hat hinter seinem Gateway einen Exchange Server). 90% Weniger Spam, und 
das was noch durchkommt, lasse ich von amavis, bzw. SpamAssassin im 
Betreff markieren.

Ihm kommt es aber bei vereinzelten Adressen vor, dass die Zustellung der 
eMail bis zu einem Tag dauern kann. Und ich kann ihm nicht wirklich 
sagen, woran das liegt. Wobei ich auch zugeben muss, dass ich im Umgang 
mit Postfix und den Zusatztools noch etwas ungeübt bin.

Ebenso hatte ich es ein paar mal, dass Postfix komplett lahmgelehrt war, 
weil clamav seine Virendatenbank nicht updaten konnte, und ich weiß 
nicht wirklich wie ich ihm beikommen soll. Derzeit habe ich ihn 
auskommentiert.

Bestimmt kann mir von Euch jemand den richtigen Denkanstoß, oder kick in 
die richtige Richtung geben.

Ein paar Beispiele:
1. Eher direkter Clamav Aufruf oder lieber clamd
2. Genauso SpamAssassin (eher Direkt oder den Dämon)
3. An welchen Schrauben muss ich bezüglich Greylisting drehen?
4. Sind meine Restrictions plausibel oder komplett unsinnig.

Nachfolgend mal meine Restrictions:
,----
| smtpd_helo_restrictions =
|     permit_sasl_authenticated,
|     permit_mynetworks,
|     reject_unauth_destination,
|     reject_non_fqdn_sender,
|     reject_non_fqdn_recipient,
|     reject_unknown_recipient_domain,
|     #reject_non_fqdn_hostname,
|     #reject_invalid_hostname,
|     reject_rhsbl_client rhsbl.sorbs.net,
|     reject_rhsbl_sender rhsbl.sorbs.net,
|     reject_rbl_client opm.blitzed.org,
|     reject_rbl_client cbl.abuseat.org,
|     reject_rbl_client list.dsbl.org,
|     reject_rbl_client sbl.spamhaus.org,
|     reject_rbl_client unconfirmed.dsbl.org,
|     reject_rbl_client list.dsbl.org,
|     reject_rbl_client dialup.blacklist.jippg.org,
|     reject_rbl_client cbl.abuseat.org,
|     reject_rbl_client multihop.dsbl.org,
|     reject_rbl_client ix.dnsbl.manitu.net
|     reject_unauth_pipelining
|
| smtpd_recipient_restrictions =
|     permit_sasl_authenticated,
|     permit_mynetworks,
|     reject_non_fqdn_sender,
|     reject_non_fqdn_recipient,
|     reject_unknown_sender_domain,
|     reject_unknown_recipient_domain,
|     reject_unauth_pipelining,
|     reject_unauth_destination,
|     reject_rbl_client zombie.dnsbl.sorbs.net,
|     reject_rbl_client list.dsbl.org,
|     reject_rbl_client sbl.spamhaus.org,
|     reject_rbl_client blackholes.easynet.nl,
|     reject_rbl_client unconfirmed.dsbl.org,
|     reject_rbl_client dialup.blacklist.jippg.org,
|     reject_rbl_client cbl.abuseat.org,
|     permit
|
| smtpd_sender_restrictions =
|     permit_sasl_authenticated,
|     permit_mynetworks,
|     reject_non_fqdn_sender,
|     reject_non_fqdn_recipient,
|     reject_unknown_recipient_domain,
|     reject_unauth_destination,
|     reject_unauth_pipelining
|     reject_rhsbl_client rhsbl.sorbs.net,
|     reject_rhsbl_sender rhsbl.sorbs.net,
|     reject_rbl_client list.dsbl.org,
|     reject_rbl_client sbl.spamhaus.org,
|     reject_rbl_client unconfirmed.dsbl.org,
|     reject_rbl_client list.dsbl.org,
|     reject_rbl_client dialup.blacklist.jippg.org,
|     reject_rbl_client multihop.dsbl.org,
|     reject_rbl_client cbl.abuseat.org
|     reject_rbl_client ix.dnsbl.manitu.net
|     #reject_rbl_client relays.ordb.org,
|     #reject_rbl_client dynablock.njabl.org,
|
`----

Vielen Dank im Voraus und auf gute Kommunikation.

In diesem Sinne.
-- 
Freundliche Grüße
Uwe Walter

Mehr Informationen über die Mailingliste Postfixbuch-users