[Postfixbuch-users] recipient restrictions und access
Sandy Drobic
postfixbuch-users at japantest.homelinux.com
Fr Okt 17 10:11:22 CEST 2008
walhalla wrote:
>>> domain2.de 550 gibts auch nicht
>> Deine Konfig ist mehr als nur suboptimal. Du versucht mit falschen Mitteln die
>> Postfix-Mechanismen nachzubilden.
>
> ist von einem kunde ein server, auf dem ein tool laeuft, mit dem man
> user / domains anlegen / bearbeiten kann. daher ist auch die cfg!
Es sollte kein besonderer Aufwand sein, das System so anzupassen, dass die
richtigen recipient_maps angesprochen werden. Oder ist das ein closed-source
Programm?
>> Im Augenblick dürfte keine Mail die Blacklists triggern, wenn deine Konfig wie
>> oben aussieht, da die Mail angenommen wird, sobald ein "OK" als Ergebnis
>> kommt. Dies kommt mit dem check_recipient_access für jeden gültigen Empfänger,
>> alle darunter liegenden Prüfungen werden nicht mehr ausgeführt. Deine
>> Empfängerliste ist so also eine Whitelist.
>>
>> Verwende besser die für die Domainklassen zugeordneten recipient_maps, dann
>> funktioniert dein Konzept erheblich besser und robuster. So schrammst du knapp
>> an einem Open Relay vorbei.
>
> ok, dann muss man relay_domains und relay_recipient_maps einbauen.
> frage: gibt es in der recipeint_map auch wildcards? wenn fuer eine
> domain nicht alle user bekannt sind (oder sogar catchall), kann man dann
> "@domain.de OK" oder "domain.de OK" eintragen, damit alle mails an die
> domain an den bestimmungsserver relayed werden?
Ja, die Syntax ist auch dokumentiert:
http://www.postfix.org/postconf.5.html#relay_recipient_maps
Optional lookup tables with all valid addresses in the domains that match
$relay_domains. Specify @domain as a wild-card for domains that have no valid
recipient list, and become a source of backscatter mail: Postfix accepts spam
for non-existent recipients and then floods innocent people with undeliverable
mail. Technically, tables listed with $relay_recipient_maps are used as lists:
Postfix needs to know only if a lookup string is found or not, but it does not
use the result from table lookup.
Du solltest jedoch prüfen, ob du reject_unverified_recipient verwenden kannst,
um die Endsysteme zu befragen, ob der Empfänger gültig ist, wenn du keine
Liste der gültigen Adressen hast.
> smtpd-restrictions wuerde dann ungefaehr so aussehen, oder ->
>
> smtpd_recipient_restrictions =
> permit_mynetworks,
> reject_invalid_hostname,
> reject_unauth_pipelining,
> permit_sasl_authenticated,
> reject_unauth_destination,
> reject_rbl_client cbl.abuseat.org,
> reject_rbl_client ix.dnsbl.manitu.net,
> permit
Ich verwende meistens noch ein "reject_unlisted_recipient hinter
reject_unauth_destination, damit die Prüfung auf ungültige Empfänger vor den
externen Checks wie RBLs stattfindet.
--
Sandy
Antworten bitte nur in die Mailingliste!
PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com
Mehr Informationen über die Mailingliste Postfixbuch-users