[Postfixbuch-users] recipient restrictions und access

[Sandy Drobic]

walhalla wrote:

>>> domain2.de 550 gibts auch nicht
>> Deine Konfig ist mehr als nur suboptimal. Du versucht mit falschen Mitteln die
>> Postfix-Mechanismen nachzubilden.
> 
> ist von einem kunde ein server, auf dem ein tool laeuft, mit dem man
> user / domains anlegen / bearbeiten kann. daher ist auch die cfg!

Es sollte kein besonderer Aufwand sein, das System so anzupassen, dass die
richtigen recipient_maps angesprochen werden. Oder ist das ein closed-source
Programm?

>> Im Augenblick dürfte keine Mail die Blacklists triggern, wenn deine Konfig wie
>> oben aussieht, da die Mail angenommen wird, sobald ein "OK" als Ergebnis
>> kommt. Dies kommt mit dem check_recipient_access für jeden gültigen Empfänger,
>> alle darunter liegenden Prüfungen werden nicht mehr ausgeführt. Deine
>> Empfängerliste ist so also eine Whitelist.
>>
>> Verwende besser die für die Domainklassen zugeordneten recipient_maps, dann
>> funktioniert dein Konzept erheblich besser und robuster. So schrammst du knapp
>> an einem Open Relay vorbei.
> 
> ok, dann muss man relay_domains und relay_recipient_maps einbauen.
> frage: gibt es in der recipeint_map auch wildcards? wenn fuer eine
> domain nicht alle user bekannt sind (oder sogar catchall), kann man dann
> "@domain.de OK" oder "domain.de OK" eintragen, damit alle mails an die
> domain an den bestimmungsserver relayed werden?

Ja, die Syntax ist auch dokumentiert:

http://www.postfix.org/postconf.5.html#relay_recipient_maps

    Optional lookup tables with all valid addresses in the domains that match
$relay_domains. Specify @domain as a wild-card for domains that have no valid
recipient list, and become a source of backscatter mail: Postfix accepts spam
for non-existent recipients and then floods innocent people with undeliverable
mail. Technically, tables listed with $relay_recipient_maps are used as lists:
Postfix needs to know only if a lookup string is found or not, but it does not
use the result from table lookup.

Du solltest jedoch prüfen, ob du reject_unverified_recipient verwenden kannst,
um die Endsysteme zu befragen, ob der Empfänger gültig ist, wenn du keine
Liste der gültigen Adressen hast.

> smtpd-restrictions wuerde dann ungefaehr so aussehen, oder ->
> 
> smtpd_recipient_restrictions =
>     permit_mynetworks,
>     reject_invalid_hostname,
>     reject_unauth_pipelining,
>     permit_sasl_authenticated,
>     reject_unauth_destination,
>     reject_rbl_client cbl.abuseat.org,
>     reject_rbl_client ix.dnsbl.manitu.net,
>     permit

Ich verwende meistens noch ein "reject_unlisted_recipient hinter
reject_unauth_destination, damit die Prüfung auf ungültige Empfänger vor den
externen Checks wie RBLs stattfindet.
-- 
Sandy

Antworten bitte nur in die Mailingliste!
PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com