[Postfixbuch-users] Melde Vollzug :-) + sichere Antispamchecks?

Uwe Driessen driessen at fblan.de
Mo Jun 8 09:53:22 CEST 2009 

On Behalf Of Jan Scholten
> Mein "Problem" von letzter Woche habe ich jetzt ausgemerzt, relay_recipient_maps
> aktiviert und meine HAM Ratio von 0.23 auf 12.5% gesteigert.
> Macht etwa 400.000 bounces weniger pro Tag und spart uns knapp 20% unserer Bandbreite..
> mal gespannt ob wir User vergessen haben, ich finde es toll.
> 
> 
> Die nächsten Schritte wären Antispam.. welche Postfix Checks kann man getrost
> aktivieren, ohne sich Sorgen zu machen was sinnvolles zu erwischen?

Grundsätzlich? Grundsätzlich wirst du immer mal wieder einen Haben der Meint er hätte
alles richtig gemacht und dennoch an irgendwas hängenbleibt. Ist wie bei Medikamenten
100000 vertragen die Sehr gut und ohne Nebenwirkung und einer kommt und hat Kopfweh.


> 
> reject_unknown_hostname hat bei mir z.B. einiges an HAM erwischt, hatte es dann
> rausgeschmissen.

Ich stell mal die Reihenfolge ein bissel um 

> 
> Mein privater Server nutzt:
>                 reject_non_fqdn_recipient,
>                 reject_non_fqdn_sender,
>                 reject_unknown_sender_domain,

            reject_unlisted_recipient,

>                 reject_unknown_recipient_domain,
>                 permit_mynetworks,

            permit_sasl_authenticated,
            reject_unauth_destination,

Bis hierhin trifft es auch eigene User sofern sich diese direkt auf der Maschine anmelden 

>                 check_sender_mx_access   cidr:/etc/postfix/bogon_networks.cidr,
>                check_sender_mx_access   hash:/etc/postfix/wildcard_mx,
>                 check_client_access    cidr:/etc/postfix/drop.cidr
>                 check_sender_mx_access cidr:/etc/postfix/drop.cidr
>                 check_sender_ns_access cidr:/etc/postfix/drop.cidr
> ############################
>                 check_recipient_access hash:/etc/postfix/rfc_oks,
> # Prüft ob jemand versucht sich mit meinem Hostnamen  oder IP zu melden
>                 check_helo_access pcre:/etc/postfix/helo_checks,
>                 # einzelne User brauchen eine whitelist für internes Dreckszeug
>                 check_sender_access hash:/etc/postfix/whitelist,
>                 reject_non_fqdn_hostname,
>                 reject_invalid_hostname,
>                 reject_invalid_helo_hostname,
>                 reject_non_fqdn_helo_hostname,

hier würde ich auch noch Greylisting einfügen vorerst mal mit Warn_if_reject zum
trainieren 

>                 check_policy_service inet:127.0.0.1:12525


Und die beiden gehören in:
smtpd_data_restrictions = reject_multi_recipient_bounce,
                   reject_unauth_pipelining


> 
> 
> Aber da muß ich häufiger dran rumdoktorn, das will ich hier vermeiden, vor allem kann
> ich (wegen der Masse) die Mails nicht sinnvoll filtern und nach False Positives
> überprüfen..


Doch so was geht auch und wird auf die Dauer egal mit was du arbeitest immer mal wieder
vorkommen. False positive werden dir deine User schon melden. Tägliche Zusammenfassung mit
pflogsumm gibt auf jeden fall schon mal hinweise 

> 
> Also was sind eurer Meinung nach "sichere" Einstellungen die man ohne schlechtes
> Gewissen und viel Nachsorge einschalten könnte?
> 


Mit freundlichen Grüßen

Drießen

-- 
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert
Tel.: +49 06708 / 660045   Fax: +49 06708 / 661397

Mehr Informationen über die Mailingliste Postfixbuch-users