[Postfixbuch-users] welche blacklists?

PV pv_mailings at amaltea.ath.cx
Do Okt 29 09:56:31 CET 2009


Norbert Gerhards schrieb:
> Hallo Postfixbuch-users,
> 
> ich bin Newbie und setze gerade einen Testserver
> unter debian lenny, alles aktuell, auf.
> 
> Ich habe Peers Musterlösung zu den
> smtpd_recipient_restrictions
> aus dem Buch nahezu 1:1 übernommen.
> 
> Könnt ihr mir bitte sagen, was davon obsolet ist
> bzw. aktuell besser eingestellt werden könnte/sollte
> (insbesondere beim RBL check)?
> 
> Hier ein Ausschnitt aus meiner main.cf:
> ---------------------------------------
> myhostname = mail.xxger.com
> mydomain = xxger.com
> default_database_type = btree
> alias_maps = btree:/etc/aliases
> alias_database = btree:/etc/aliases
> virtual_alias_domains = btree:/etc/postfix/virtual_alias_domains
> virtual_alias_maps = btree:/etc/postfix/virtual_alias_maps
> myorigin = /etc/mailname
> mydestination = $myhostname, $mydomain, localhost.$mydomain, localhost
> relayhost =
> mynetworks = 193.96.2xx.0/24 10.1.1.0/24 127.0.0.0/8
> [::ffff:127.0.0.0]/104 [::1]/128
> mailbox_command = procmail -a "$EXTENSION"
> mailbox_size_limit = 0
> recipient_delimiter = +
> inet_interfaces = all
> 
> smtpd_recipient_restrictions =
> # postmaster, abuse und andere Role-Accounts whitelisten:
>     check_recipient_access btree:/etc/postfix/access_recipient-rfc,
> 
> # White- und Blacklisting:
>     check_client_access cidr:/etc/postfix/access_client,
>     check_helo_access btree:/etc/postfix/access_helo,
>     check_sender_access btree:/etc/postfix/access_sender,
>     check_recipient_access btree:/etc/postfix/access_recipient,
Ich whiteliste gerne etwas später. [1]
Denn warum soll ich mich mit nonfqdn Adressen und nicht existierenden
Domains aufhalten?

> # Keine unsauberen Mails annehmen:
>     reject_nonfqdn_sender,
>     reject_nonfqdn_recipient,
>     reject_unknown_sender_domain,
>     reject_unknown_recipient_domain,
> # Unsere Nutzer erlauben:
>     permit_sasl_authenticated,
>     permit_mynetworks,
[1] Ungefähr hier

> # RBLs checken:
>     reject_rbl_client zen.spamhaus.org,
>     reject_rbl_client ix.dnsbl.manitu.net,
>     reject_rbl_client bl.spamcop.net,
>     reject_rbl_client dnsbl.njabl.org,
>     recect_rbl_client list.dsbl.org,
>     reject_rhsbl_client blackhole.securitysage.com,
blackhole kenne ich nicht, die anderen sind m.E. ok.

RBLs vor Postgrey entlastet Letzteren, belastet aber den DNS.
Setzt Du RBLs nach Postgrey ein, belastet du den DNS und entlastet Postgrey.

> # policyd-weight:
>     check_policy_service inet:127.0.0.1:12525,
> # Greylisting:
>     check_policy_service inet:127.0.0.1:60000,
> # Dynamisch auf existierende Relay-Empfaenger pruefen:
>     reject_unverified_recipient,
> # Backup MX erlauben (falls vorhanden):
> #    permit_mx_backup,
> # Alles andere Relaying verbieten:
>     reject_unauth_destination,
Müsste das nicht früher gesetzt werden? (Frage in die Runde)
Ungefähr nach permit_sasl und mynetworks?

> # Was jetzt noch da ist, darf endlich durch:
>     permit
Ist, glaub ich, überflüssig. Alles was bis hier hin gekommen ist, darf
eh durch.

> ---------------------------------------------------------
> 
> Und was schreibt man typischerweise in die
> access_helo und access_recipient Dateien?
In helo sollte dein hostname oder deine IP des Mailservers. Manche
Spammer setzen als deren HELO deinen Hostanmen oder IP.

> Und wo sollte ich evtl. body- und header-checks noch
> einbauen?
Du meinst nicht wo, sondern was sollst Du in diese Maps einbauen!?
Da gehören Checks rein, die den Inhalt der Mail prüfen. Alle anderen
checks waren Prüfungen, die eher die Verbindungsdaten selbst prüfen.
Hier hast Du die Möglichkeit Filter auf Header, Body, Mime einer Mail zu
machen.

> 
> Danke für jede Hilfe,
> 
> Norbert
> 

Viele Grüße
Paul



Mehr Informationen über die Mailingliste Postfixbuch-users