[Postfixbuch-users] Reihenfolge von Black-/Whitelisting und reject_unauth_destination in smtpd_recipient_restrictions
Michael Grimm
trashcan at odo.in-berlin.de
Mo Aug 10 21:29:37 CEST 2009
Moin, moin --
On 10.08.2009, at 20:02, Sandy Drobic wrote:
> Michael Grimm
[permit_mx_backup]
>> Schadet der Eintrag? Potentielle Schwachstelle?
>
> Der Check gilt als "deprecated", da er sich in der Tat ausnutzen
> lässt. Wenn
> ich in meiner Domain deinen Server als zweiten MX eintrage, sagt
> permit_mx_backup "OK" an der Stelle, wo du permit_mx_backup
> einträgst. Im
> besten Fall kann ich dann die Spam-Checks umgehen, im schlimmsten
> Fall kann
> ich deinen Server als Relay verwenden. Je nachdem, an welcher Stelle
> du
> permit_mx_backup einträgst.
>
> Generell wird es nicht ermutigt, da du damit eine Einstellung
> überprüfst, die
> eventuell von einem nicht vertrauenswürdigen Dritten vorgenommen
> werden kann.
>
> permit_mx_backup_networks erlaubt es dir, die IPs einzuschränken,
> für die
> permit_mx_backup geprüft wird. Der Default ist jedoch leer.
Danke für die Erläuterungen, das mit den permit_mx_backup_networks war
mir
entgangen.
>> #
>> -------------------------------------------------------------------------
>> # white- and blacklisting
>> #
>> -------------------------------------------------------------------------
>> # check_client_access pcre:/usr/local/etc/postfix/
>> access_client,
>> # check_helo_access pcre:/usr/local/etc/postfix/access_helo,
>> check_sender_access pcre:/usr/local/etc/postfix/access_sender,
>> check_recipient_access pcre:/usr/local/etc/postfix/
>> access_recipient,
>> #
>> -------------------------------------------------------------------------
>
> Ich würde diese Checks noch aufteilen auf die Rollen (Black- und
> Whitelists).
> Zuerst die Whitelists und danach dann die Blacklists. Der richtige
> Ort ist nach:
>
> ...
> reject_unauth_destination
> reject_unlisted_recipient
> reject_unverified_recipient
> # hier die Whitelists
Yep. Hier stehen sie mittlerweile auch, und die Empfehlung mit ...
> Ein weiterer Vorteil ist die Transparenz. Einem "access_sender"
> siehst du
> nicht an, welche Einträge drinstehen. Einem "sender_blacklist" aber
> sofort.
> Wenn die Konfig komplizierter wird, bist du für jedes bischen
> Transparenz dankbar.
... nehme ich dankbar an. Überzeugt mich.
Besten Dank,
Michael
Mehr Informationen über die Mailingliste Postfixbuch-users