[Postfixbuch-users] Einzelne Tests selektiv abschalten

[Jan P. Kessler]

Jan P. Kessler schrieb:
> Andre Tann schrieb:
>   
>> Daher -v bitte.
>>   
>>     
>
> Es bleibt ein bisschen Gusto - hier aber zwei aus meiner Sicht gute 
> Gründe, die mir zu dem Thema einfallen:
>
> 1. Die Prüfungen reject_unknown_* beinhalten dns lookups. Diese sind 
> bedeutend kostspieliger als reject_unauth_destination, und zwar sowohl 
> zeitlich als auch kapazitiv. Ganz zu schweigen davon, dass es Bandbreite 
> und Ressourcen Deines Nameservers spart. Als Betreiber recht 
> 'beschäftigter' Maschinen habe ich mir angewöhnt, meine Restrictions so 
> aufzubauen, dass günstige Checks zuerst ausgeführt werden.
>
> 2. Dieser Grund ist aus meiner Sicht viel wichtiger: Wenn Du Dir 
> angewöhnst, Deine Restrictions grundsätzlich mit einleitendem
>
>     permit_*, reject_unauth_destination, <restliche Prüfungen>
>
> kann Dir so etwas wie mit Deinem helo_check nicht passieren. Da 
> unauth_destination die Prüfung auf Open Relaying beinhaltet, kannst Du 
> in Deinen Restriktionstabellen munter 'OK' zurückgeben. Das schlimmste, 
> was Dir dann noch passieren kann, ist dass Du irgendwelche 
> Antispam-Prüfungen überspringst.
>
> Kleine Faustregel: Setze niemals 'OK' in Restriktionen ein, die Werte 
> betreffen, die Dein Gegenüber frei wählen kann. Dazu zählen z.B. der 
> Absender, das helo und auch der unverifizierte Reverse Lookup.
>
> Gruß, Jan
>
>   

* kleine Ausnahme:

Wie andere schon angemerkt haben, macht reject_unknown_recipient_domain 
nach reject_unauth_destination keinen Sinn mehr, da letzterer ja bereits 
bewirkt, dass nur noch die eigenen Domains gegen dns geprüft werden. Ich 
hing irgendwie am reject_unknown_helo..