[Postfixbuch-users] Reihenfolge der Restrictions bei DKIM

Uwe Driessen driessen at fblan.de
Di Aug 11 08:58:43 CEST 2009


On Behalf Of Gerald Holl
> 
> Liebe Postfixer,
> 
> Mich beschäftigen ein paar Fragen, obwohl die config schon seit langem
> funktioniert.
> Nachfolgend die relevanten Fragmente der config:
> smtpd_client_restrictions = reject_unauth_pipelining
> smtpd_helo_restrictions = reject_invalid_helo_hostname
> smtpd_recipient_restrictions = check_sender_access
>   regexp:/etc/postfix/filter_originating, permit_mynetworks,
>   reject_non_fqdn_recipient, reject_unknown_recipient_domain,
>   permit_sasl_authenticated, check_sender_access
>   regexp:/etc/postfix/filter_foreign, reject_unauth_destination,
>   check_policy_service inet:127.0.0.1:12525, check_policy_service
>   inet:127.0.0.1:60000
> smtpd_sender_restrictions = reject_non_fqdn_sender,
> reject_unknown_sender_domain

Besser ist immer postconf -n 

Alle restriktionen einmal in smtpd_recipient_restrictions eintragen und ausführen
Empfehlung in den Postfixbüchern und ich schätze mal die meisten Server dieser Liste
laufen so. 


> 
> 
> Ich verwende Postfix mit amavisd-new für DKIM Signierung und
> Verifikation, darüber hinaus policyd-weight und postgrey.
> 
> In der Doku zu amavis habe ich heute zufällig entdeckt, dass man die
> beiden check_sender_access Anweisungen keinesfalls in
> smtpd_recipient_restrictions reingeben soll, sondern nur in
> smtpd_sender_restrictions, weil bei mehreren Empfängern ein 'surprising
> (and incorrect) result' auftreten kann. Heißt das nun, ich soll die
> beiden Anweisungen zu den sender restrictions geben? Warum?

Mehrere Empfänger von dir aus gesehen also abgehende Mails werden tangiert solange der
User über permit sasl, mynetwork schon vorher den Test verlassen hat.

Reinkommend ist es eigentlich auch kein Problem denn den Absender willst du (dunno,
Verzeigung in weiter checks oder gar ok(nicht zu empfehlen)) oder du willst ihn nicht
transportieren dann bekommt er ein reject.
Probleme können lediglich auftauchen wenn du das Ganze User bezogen machst und der eine
will den Absender und der andere nicht. Dann kann es vorkommen, bei einer Mail von diesem
Absender an mehrere Empfänger auf deinem Server, das die Mail komplett abgewiesen wird. 


> 
> Warum muss die check_sender_access
> regexp:/etc/postfix/filter_originating Anweisung ganz am Beginn stehen?

Nö die muß genau da stehen wo du die brauchst.
Soll die auch für die eigenen User gelten dann vor den permit sasl und network, nur für
fremde nach dem permit sasl  

> 
> Und gehe ich richtig in der Annahme, wenn die check_policy_service
> Anweisung (insbes. die policyd-weight) ganz am Beginn stehen würde,
> meine Clients keine Mails mehr versenden können (Spamhaus PBL), die
> haben ja eine dyn. IP und darum permit_sasl_authenticated vor den
> check_policy Anweisungen stehen muss?
> 

Das willst du ja nicht vor permit sasl haben.
Wen willst du damit prüfen? Die Antwort auf die Frage beantwortet dir wo der check
eingefügt wird.

In der Regel wird man versuchen "interne" checks vor den "externen" checks durchzuführen.
Geht aber auch nicht immer. 



Mit freundlichen Grüßen

Drießen

-- 
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert
Tel.: +49 06708 / 660045   Fax: +49 06708 / 661397





Mehr Informationen über die Mailingliste Postfixbuch-users