[Postfixbuch-users] My mailserver on a virtual machine/server used as spam-relay
Jan P. Kessler
postfix at jpkessler.info
So Feb 15 11:00:04 CET 2009
reiner otto schrieb:
>
> *
>
> Die Lösung dazu heißt also, ändere das mit der Maskierung eingehender
> Verbindungen und versuche das nicht mit postfix zu lösen.
>
>
> Geht eben nicht, da es nicht mein Host ist.
>
> Werde mal mit dem techSupport von denen reden;
>
> bis jetzt war ich allerdings nicht sehr von deren Kompetenz
>
> überzeugt :-)
>
>
> *
>
Falls Du mit denen nicht weiterkommst, solltest Du Dir zumindest bewusst
sein, dass Du sämtliche adressbasierten Prüfungen (rbls und co)
deaktivieren kannst. Auch mynetworks ist dann natürlich nicht sinnvoll
einsetzbar, wie Du ja bereits am eigenen Leib erfahren durftest. Offen
gestanden würde ich angesichts dieser gravierenden Nachteile lieber auf
die Virtualisierung verzichten oder selbst eine aufsetzen.
Ich selbst betreibe seit vielen Jahren ein postfix relay und einen
apache webserver getrennt in virtuellen Maschinen auf meinem Strato
Rootserver (ja, ich bin auch so'n Paranoiker). Dazu nutze ich den freien
vmware server. Die NAT mache ich mit iptables (bzw komfortabel mit
fwbuilder) und das funktioniert ganz prima ohne Masquerading der
externen Adressen! Ein solches Setup sollte auch mit xen, uml, bochs &
co kein Problem sein.
> *
>
> >
> > So, now my question is, how to reject mail with destination
> "0.0.0.0" because of invalid MX record ? That should be a better
> solution compared to commenting permit_mynetworks.
> >
>
> Dazu gibt es check_(helo|sender|recipient)_mx_access und cidr maps.
>
> Danke für den Tip ! check_recipient_mx_access hat es gebracht.
>
> Wußte gar nicht, daß es dies gibt. Kannte nur
>
> check_sender_mx_access. Und das reichte ja nicht.
>
> Jetzt ist die Lücke geschlossen.
>
> *
>
Sehr gut. Noch fieser sind übrigens MX Einträge, die auf RFC1918
Adressen verweisen, also wenn z.B. der MX einer Domain auf eine 10er
Adresse zeigt. Dann gehen die Antowrten idR nämlich gegen Deine eigene
Infrastruktur.
Ja, die Jungs sind manchmal kreativ...
> *
>
> Werde aber trotzdem der Angelegenheit weiter nachgehen.
>
> Ist nämlich böse Falle. Muß aber den "Bad Guys"
>
> ehrlichen Respekt zollen. Haben die sehr clever gemacht !
>
> *
>
Ganz ehrlich - überragende Cleverness hat es hier aus meiner Sicht nicht
gebraucht. Die haben einfach Bots, die Open Relays abgrasen und Dein
Server war eben bis zur Herausnahme der Loopback Adresse aus mynetworks
eines.
Mehr Informationen über die Mailingliste Postfixbuch-users