[Postfixbuch-users] Einzelne Tests selektiv abschalten

Sandy Drobic postfixbuch-users at japantest.homelinux.com
Fr Okt 24 16:21:52 CEST 2008


Andre Tann wrote:
> Sandy Drobic, Freitag, 24. Oktober 2008 14:54: 
> 
>> smtpd_recipient_restrictions =
>> # grundlegende Sauberkeit, selbst die eigenen Hosts dürfen nur
>> fqdn # verwenden:
>>     reject_non_fqdn_sender
>>     reject_non_fqdn_recipient
>>     permit_mynetworks
>>     reject_unauth_destination
>>     reject_unlisted_recipient
> 
> Das gefällt mir nicht recht. Bevor ich überhaupt mit jemand rede, 
> soll der mal seine Kiste grundlegend korrekt konfigurieren, sprich: 
> ordentlichen helo, ordentlichen hostname, ordentliche 
> sender-domain, usw. Das sind allgemeine Kriterien.

Komisch... Genau, weil du dies so konfiguriert hast, fragst du um Rat, weil
eben ein rappeliger Server nicht in dein Konzept integriert werden kann.

> Werden die erfüllt, dann gehe ich zu spezielleren Kriterien über: 
> für wen bin ich zuständig, welche user gibt es bei mir. Warum 
> sollte ich diese Dinge jemandem mitteilen, der sich mit 
> HELO ???????? meldet. Gerade diesen HELO habe ich hier dauernd.
> 
> Daher gefällt mir Deine Reihenfolge nicht so gut.

Die Reihenfolge stellt sicher, dass dein eigener Server keinen Mist baut!
Erst an die eigene Nase fassen, bevor man anfängt, Steine zu werfen.

Die normale Reihenfolge ist etwa so:

- checks für alle Clients: keine Emailadressen akzeptieren,
  die nicht vollständig sind.

- Relayen erlaubt für Clients, deren IP in mynetworks steht.
- Relayen erlaubt für Clients, die sich authentifizieren

- verbiete allen anderen Clients das relayen

- Sicherstellen, dass die Mails auch ausgeliefert werden können
  (Empfänger ist gültig)

Jetzt kannst du weitere Checks einsetzen nach deinen eigenen Gegebenheiten und
kannst sicher seins, dass
a) du nicht deine vertrauenswürdigen Clients torpedierst
b) die nicht vertrauenswürdigen Clients nur für eigene gültige Empfänger
   einliefern können

DAS ist die grundlegene Sicherheit, die dein eigener Server leisten sollte.
Danach kannst du anfangen mit Antispam-Einstellungen.

Glaube mir bitte, dass es die Spam-Zombies überhaupt nicht interessiert, mit
welcher Meldung du die Mail abweist. Wenn irgendjemand dir eine trickreiche
Mail unterschieben möchte, dann wird er peinlich genau darauf achten, ja nicht
aus dem Rahmen zu fallen und über einen Freemailer oder ähnliches schicken.

> 
>> # hinter reject_unauth_destination lehnst du nur noch deine
>> eigenen domain # ab, das willst du nicht!
> 
> Was meinst Du damit?

Sieh dir doch einfach mal den Satz darüber an!! Was meinst du wohl, was genau
reject_unauth_destination für ein Check ist?!?

> 
>> # reject_unauth_pipelining fängt praktisch nie etwas hier, suche
>> mal das Log # ab, wieviele Meldungen du findest. Wahrscheinlich
>> keine einzige. #   reject_unauth_pipelining
> 
> Ich hab mir immer mal vorgenommen, genau danach zu greppen. 
> Vermutlich hast Du recht. Ist halt drin, schadet aber auch nichts.

Sehe ich anders: was nicht nützt, kann nur schaden.



-- 
Sandy

Antworten bitte nur in die Mailingliste!
PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com



Mehr Informationen über die Mailingliste Postfixbuch-users