[Postfixbuch-users] Reihenfolge von Black-/Whitelisting undreject_unauth_destination in smtpd_recipient_restrictions

Michael Grimm trashcan at odo.in-berlin.de
Mo Aug 10 17:38:34 CEST 2009


Uwe Driessen schrieb:
> On Behalf Of Michael Grimm

>> Mein Verständnisproblem liegt nun in der späten Überprüfung
>> reject_unauth_destination und dem empfohlenen White-/Black- Listing  
>> ganz zu
>> Beginn der smtpd_recipient_restrictions. Sollte dieser Relaycheck  
>> nicht
>> relativ weit vorne erfolgen? Öffnete ich nicht meinen Server  
>> hinsichtlich
>> Relaying, wenn ich bspw. in
>
> Nö eigentlich nicht
>
>> check_sender_access ein OK vergäbe? Hmm.
>
> Ein Ok bekommt nur der den ich auf mehrere Arten eindeutig  
> identifizieren
> kann (z.B. feste IP)

Hmm. Aber kann man sich denn sicher sein, daß ein derart einmal als  
Goodguy
identifizierter Absender nicht irgendwann einmal zum Badguy mutiert  
oder sein
Server von Spammern übernommen wird? Ok, das war jetzt ein Worst-Case- 
Scenario.

Der Hintergrund meiner Verunsicherung liegt eigentlich darin  
begründet, daß das
Beispiel im Buch den Relaycheck erst ganz zum Schluß macht, und dann  
auch noch
darauf hingewiesen wird, daran nur dann etwas zu ändern, wenn man  
wisse, was
man täte. Als Anfänger blicke ich nicht auf Anhieb durch, welches OK  
an welcher
Stelle fatale Folgen haben könnte. Wäre es dann nicht besser, den  
Relaycheck
gleich zu Beginn nach den Checks auf falsche Header und lokale  
Recipients
vorzuschlagen? Oder kann ich mir damit dann ein anderes Bein stellen,  
das ich
als Anfänger jetzt übersehe?

Das soll jetzt bitte nicht als Kritik am Buch mißverstanden werden,  
ich wollte
nur die Gründe für meine Nachfrage schildern, so quasi als Feedback  
eines
Newbies.

>> Hintergrund meiner Fragen ist: Ich möchte gerne ein paar  
>> Absenderadressen
>> zur Sicherheit hinsichtlich gerade getesteter RBL checks whitelisten.
>
> Und wo ist das Problem? kennst du den Server, weist du das dieser  
> Server für
> dich sicher ist, willst du dessen Mails haben dann bleibt dir kein  
> anderer
> Weg wie diesen vor den RBL's mit OK anzunehmen.

Wie gerade beschrieben. Ja, derzeit kann ich diesen Servern vertrauen,  
aber
auch in Zukunft? Ich kann meinen Server nicht rund um die Uhr  
überwachen;
vielleicht bin ich ja auch nur etwas paranoid ;-) Ich werde also
sicherheitshalber den Relaycheck vor dem Whitelisting durchführen.

> ( da deine RBL's aber alle nur mit warn_if_reject laufen werden  
> diese Server
> eh nicht abgelehnt)

Ja, das dient derzeit nur dem Austesten, wer was ablehnt und dem  
Kennenlernen.

Schönen Dank,
Michael



Mehr Informationen über die Mailingliste Postfixbuch-users