[Postfixbuch-users] My mailserver on a virtual machine/server used as spam-relay

So Feb 15 11:00:04 CET 2009

reiner otto schrieb:
>
> *
>
>     Die Lösung dazu heißt also, ändere das mit der Maskierung eingehender
>     Verbindungen und versuche das nicht mit postfix zu lösen.
>               
>
>     Geht eben nicht, da es nicht mein Host ist.
>
>     Werde mal mit dem techSupport von denen reden;
>
>     bis jetzt war ich allerdings nicht sehr von deren Kompetenz
>
>     überzeugt :-)
>               
>
> *
>

Falls Du mit denen nicht weiterkommst, solltest Du Dir zumindest bewusst 
sein, dass Du sämtliche adressbasierten Prüfungen (rbls und co) 
deaktivieren kannst. Auch mynetworks ist dann natürlich nicht sinnvoll 
einsetzbar, wie Du ja bereits am eigenen Leib erfahren durftest. Offen 
gestanden würde ich angesichts dieser gravierenden Nachteile lieber auf 
die Virtualisierung verzichten oder selbst eine aufsetzen.

Ich selbst betreibe seit vielen Jahren ein postfix relay und einen 
apache webserver getrennt in virtuellen Maschinen auf meinem Strato 
Rootserver (ja, ich bin auch so'n Paranoiker). Dazu nutze ich den freien 
vmware server. Die NAT mache ich mit iptables (bzw komfortabel mit 
fwbuilder) und das funktioniert ganz prima ohne Masquerading der 
externen Adressen! Ein solches Setup sollte auch mit xen, uml, bochs & 
co kein Problem sein.

> *
>
>     > 
>     > So, now my question is, how to reject mail with destination
>     "0.0.0.0" because of invalid MX record ? That should be a better
>     solution compared to commenting permit_mynetworks.
>     > 
>
>     Dazu gibt es check_(helo|sender|recipient)_mx_access und cidr maps. 
>
>     Danke für den Tip ! check_recipient_mx_access hat es gebracht.
>
>     Wußte gar nicht, daß es dies gibt. Kannte nur 
>
>     check_sender_mx_access. Und das reichte ja nicht.
>
>     Jetzt ist die Lücke geschlossen.
>
> *
>

Sehr gut. Noch fieser sind übrigens MX Einträge, die auf RFC1918 
Adressen verweisen, also wenn z.B. der MX einer Domain auf eine 10er 
Adresse zeigt. Dann gehen die Antowrten idR nämlich gegen Deine eigene 
Infrastruktur.

Ja, die Jungs sind manchmal kreativ...

> *
>
>     Werde aber trotzdem der Angelegenheit weiter nachgehen.
>
>     Ist nämlich böse Falle. Muß aber den "Bad Guys"
>
>     ehrlichen Respekt zollen. Haben die sehr clever gemacht !
>
> *
>

Ganz ehrlich - überragende Cleverness hat es hier aus meiner Sicht nicht 
gebraucht. Die haben einfach Bots, die Open Relays abgrasen und Dein 
Server war eben bis zur Herausnahme der Loopback Adresse aus mynetworks 
eines.