[Postfixbuch-users] Nach newsletter auf Blacklist

Alexander Busam alexander.busam at gmx.net
Mi Nov 19 15:14:52 CET 2008 

-------- Original-Nachricht --------
> Datum: Wed, 19 Nov 2008 14:51:15 +0100
> Von: Sandy Drobic <postfixbuch-users at japantest.homelinux.com>
> An: "Eine Diskussionsliste rund um das Postfix-Buch von Peer Heinlein." <postfixbuch-users at listen.jpberlin.de>
> Betreff: Re: [Postfixbuch-users] Nach newsletter auf Blacklist

> Alexander Busam wrote:
> > -------- Original-Nachricht --------
> >> Datum: Wed, 19 Nov 2008 14:00:46 +0100
> >> Von: Sandy Drobic <postfixbuch-users at japantest.homelinux.com>
> >> An: "Eine Diskussionsliste rund um das Postfix-Buch von Peer Heinlein."
> <postfixbuch-users at listen.jpberlin.de>
> >> Betreff: Re: [Postfixbuch-users] Nach newsletter auf Blacklist
> > 
> >> Alexander Busam wrote:
> >>> Hallo,
> >>>
> >>> kann es sein, dass wir nach dem Versand von ca. 2000 newslettern an
> >> unsere
> >>> Kunden auf blacklists gekommen sind ?
> >> Kann sein, aber unwahrscheinlich.
> >>
> >>> Wir sind nun das 2. Mal auf der cbl und deshalb auch in der spamhaus
> >> XBL.
> >>> Außerdem stehen wir auf der UCEPROT1.
> >> Okay, dass nennt man "Arschkarte gezogen".
> >>
> >>> Zur Mailserver-Konfiguration: Momentan laufen 2 Mailserver. Ein Tobit
> >> und
> >>> ein postfix, da wir noch am Migrieren der email-Konten sind. Von
> Konten,
> >>> die bereits nach postfix/cyrus migriert sind, werden die emails
> >>> weitergeleitet. emails der migrieten Konten werden über den smtp von
> >>> postfix versendet. Beide Mailserver sind hinter einer Firewall im
> >> privaten
> >>> Netz (192.168.x.x). Eingehende Mails werden entsprechende durch die
> >>> Firewall geroutet.
> >> Hier passieren die meisten Fehler. Oft werden, "weil die Firewall doch
> so
> >> sicher ist", die Mails erst von der Firewall angenommen und dann an den
> >> internen Mailserver weitergeleitet. Die Firewall nimmt alle Mails für
> die
> >> Domain an, ohne die gültigen Adressen zu kennen, die ungültigen
> werden
> >> dann
> >> (im Fall von Spam/Viren) an die gefälschten Absenderadressen
> gebounced.
> >> Das
> >> nennt man "Backscatter".
> >>
> >> Das ist eine sehr häufige Kombination, mit der man auf Blacklists
> landet.
> >>
> >>> myhostname = der interne DNS-Name des Rechners, nicht der nach außen
> >>> offizielle DNS, da die Weiterleitung von Tobit auf postfix auf den
> >> internen
> >>> DNS-Name eingerichtet ist. Liegts vielleicht daran ?
> >> Ich habe gerade geniest, vielleicht liegt es daran! Aufgrund mangelnder
> >> Informationen kann ich leider keine genauere Auskunft geben.
> >>
> >> Bitte beschreibe deine Infrastruktur etwas präziser:
> > 
> > 
> > 
> 
> > eingehende email --> Firewall --> NAT auf die entsprechende IP -->
> > Spam-Server --> Tobit-Mailserver --> Weiterleitung an
> postfix-Mailserver,
> > wenn Postfach schon migriert
> 
> Ich zitiere jetzt mal einfach meine vorige Mail:
> 
> >> Hier passieren die meisten Fehler. Oft werden, "weil die Firewall doch
> so
> >> sicher ist", die Mails erst von der Firewall angenommen und dann an den
> >> internen Mailserver weitergeleitet. Die Firewall nimmt alle Mails für
> die
> >> Domain an, ohne die gültigen Adressen zu kennen, die ungültigen
> werden
> >> dann
> >> (im Fall von Spam/Viren) an die gefälschten Absenderadressen
> gebounced.
> >> Das
> >> nennt man "Backscatter".
> >>
> >> Das ist eine sehr häufige Kombination, mit der man auf Blacklists
> landet.
> 
> Der externe Client spricht also nicht mit dem Postfix-Mailserver sondern
> mit
> der Firewall. Diese ist verantwortlich für die Annahme von Mails im
> Augenblick. Dieser kenn sehr wahrscheinlich nicht die gültigen Adressen,
> oder?
> 
> Die beste Empfehlung, die ich dir geben kann, ist die Infrastruktur zu
> vereinfachen:
> 
> - kein Mailserver auf der Firewall


der Mailserver(tobit und postfix)/Spamserver ist hinter der Firewall im privaten Netz.

> - kein Spamserver (Antispam kann Postfix besser!)
> 

Wir sind gerade in der Migrationsphase von Punkt 1. 

1. Umstellung aller Accounts von Tobit auf Postfix (momentan noch cyrus). 
2. Abschalten des Tobit-Servers und mails vom Spamserver an Postfix anstatt Tobit weiterleiten.
3. Konfiguration des Spamfilters auf dem Postfix. 
4. Abschalten des Spamserver und Weiterleitung an der Firewall an Postfix anstatt Tobit ändern.



> eingehende Mail -> NAT direkt auf Postfix-Server, Weiterleitung auf Tobit,
> wenn noch nicht migriert.
> 
> In Postfix die Liste der gültigen Adressen pflegen, oder, wenn Tobit das
> kann,
> die Adressen mit reject_unverified_recipient gegen den Tobit-Server
> prüfen lassen.
> 
> 
> > In den Logs steht nichts auffälliges was zu dem Zeitpunkt hätte
> passieren können. 
> 
> Weil die kritischen Ereignisse auf der Firewall/Spamserver bereits
> verbrochen
> wurden.
> 
> > 
> >> - die Konfiguration des Postfix-Servers sieht man am besten in der
> Ausgabe
> >> von
> >> "postconf -n"
> 
> Erst dann, wenn der Postfix-Server tatsächlich verantworlich für ein
> Fehlverhalten ist.
> 
> Als Mailadmin solltest du sicherstellen, dass:
> 
> - keine Mails an ungültige Adressen in deiner Domain angenommen werden
> - keine Bounces an externe Empfänger gehen.

was verstehst Du unter externen Empfängern ? Fast alle Mitarbeiter "sitzen" im lokalen Netz. Wenige Mitarbeiter greifen von Extern auf den Mailserver (postfix) zu. 

> 
> dieser letzte Punkt ist wahrscheinlich auch der Grund, warum du über
> Mails an
> Spamtraps immer wieder in Blacklists landest. Beseitige die Ursache, und
> du
> hast endlich Ruhe. (^-^)
> -- 
> _______________________________________________
> Postfixbuch-users -- http://www.postfixbuch.de
> Heinlein Professional Linux Support GmbH
> 
> Postfixbuch-users at listen.jpberlin.de
> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users

-- 
"Feel free" - 5 GB Mailbox, 50 FreeSMS/Monat ...
Jetzt GMX ProMail testen: http://www.gmx.net/de/go/promail

Mehr Informationen über die Mailingliste Postfixbuch-users