[Postfixbuch-users] Reihenfolge von Black-/Whitelisting und reject_unauth_destination in smtpd_recipient_restrictions

Michael Grimm trashcan at odo.in-berlin.de
Mo Aug 10 21:29:37 CEST 2009


Moin, moin --

On 10.08.2009, at 20:02, Sandy Drobic wrote:
> Michael Grimm

[permit_mx_backup]

>> Schadet der Eintrag? Potentielle Schwachstelle?
>
> Der Check gilt als "deprecated", da er sich in der Tat ausnutzen  
> lässt. Wenn
> ich in meiner Domain deinen Server als zweiten MX eintrage, sagt
> permit_mx_backup "OK" an der Stelle, wo du permit_mx_backup  
> einträgst. Im
> besten Fall kann ich dann die Spam-Checks umgehen, im schlimmsten  
> Fall kann
> ich deinen Server als Relay verwenden. Je nachdem, an welcher Stelle  
> du
> permit_mx_backup einträgst.
>
> Generell wird es nicht ermutigt, da du damit eine Einstellung  
> überprüfst, die
> eventuell von einem nicht vertrauenswürdigen Dritten vorgenommen  
> werden kann.
>
> permit_mx_backup_networks erlaubt es dir, die IPs einzuschränken,  
> für die
> permit_mx_backup geprüft wird. Der Default ist jedoch leer.

Danke für die Erläuterungen, das mit den permit_mx_backup_networks war  
mir
entgangen.

>> #  
>> -------------------------------------------------------------------------
>> # white- and blacklisting
>> #  
>> -------------------------------------------------------------------------
>>       # check_client_access pcre:/usr/local/etc/postfix/ 
>> access_client,
>>       # check_helo_access pcre:/usr/local/etc/postfix/access_helo,
>>       check_sender_access pcre:/usr/local/etc/postfix/access_sender,
>>       check_recipient_access pcre:/usr/local/etc/postfix/ 
>> access_recipient,
>> #  
>> -------------------------------------------------------------------------
>
> Ich würde diese Checks noch aufteilen auf die Rollen (Black- und  
> Whitelists).
> Zuerst die Whitelists und danach dann die Blacklists. Der richtige  
> Ort ist nach:
>
> ...
> reject_unauth_destination
> reject_unlisted_recipient
> reject_unverified_recipient
> # hier die Whitelists

Yep. Hier stehen sie mittlerweile auch, und die Empfehlung mit ...

> Ein weiterer Vorteil ist die Transparenz. Einem "access_sender"  
> siehst du
> nicht an, welche Einträge drinstehen. Einem "sender_blacklist" aber  
> sofort.
> Wenn die Konfig komplizierter wird, bist du für jedes bischen  
> Transparenz dankbar.

... nehme ich dankbar an. Überzeugt mich.

Besten Dank,
Michael




Mehr Informationen über die Mailingliste Postfixbuch-users