[Postfixbuch-users] Double-Bounce - Meldungen im Log

[Peer Heinlein]

Am Dienstag, 6. April 2010 18:39:45 schrieb Christian Moestchen:

> nachdem ich nun meinen Mailserver entsprechend des HowTo auf
> workaround.org aufgesetzt habe, 

Ich mag Howtos nicht Mailserver sind zu komplex um was abzutippen, was 
man nicht versteht. Und 9 von 10 Howtos halte ich (ganz ehrlich) für 
totalen Unsinn bis gefährlich falsch.  Die sind leider oft genug von 
Leuten geschrieben., die irgendwas am Ende irgendwie hinbekommen haben, 
teilweise sogar eine sich widersprechende Config gebaut haben und dann 
am Ende ein "Howto" draus machen. Von "keine Ahnung" zu "Howto-
Schreiber" liegen manchmal nur wenige Tage.
 
> Beim Blick ins Log sind mir in ständiger Regelmäßigkeit (alle paar
> Sekunden) Meldungen nach folgendem Muster aufgefallen:
> Apr  5 21:03:35 mailserver postfix/qmgr[22369]: 5227F9667B:
> from=<double-bounce at mailserver.moestchen.de>, size=290, nrcpt=1
>  (queue active)


Das sind verify-Anfragen. Ich empfehle ja übrigens einen anderen 
Absender als double-bounce oder postmaster zu nutzen, dann sieht man es 
besser.


> Der grep nach der to-Mailadresse tequilaj at email.msn.com ergibt
>  folgende Zeilen:
> grep tequilaj at email.msn.com /var/log/mail.log
> Apr  5 21:03:36 mailserver postfix/smtp[22424]: 5227F9667B:
> to=<tequilaj at email.msn.com>, relay=mx4.hotmail.com[65.55.37.88]:25,
> delay=1, delays=0.03/0/0.8/0.21, dsn=2.0.0, status=deliverable (250
> tequilaj at email.msn.com )

Ein Sender-Verification gegen externe Absender ist gefährlich, einfach 
nur gefährlich. Das will man nicht, was macht man nicht, das DARF man 
nicht machen.

> Apr  5 21:03:39 mailserver postfix/smtpd[22400]: NOQUEUE: reject:
>  RCPT from unknown[190.156.229.164]: 554 5.7.1 Service unavailable;
>  Client host [190.156.229.164] blocked using zen.spamhaus.org;
> http://www.spamhaus.org/query/bl?ip=190.156.229.164;

Eben. Du machst Dir Deinen Mailverkehr mit sowas kaputt.

> Nun hab ich noch nicht die Erfahrungen mit der Administration von
>  Postfix und Verwaltung / Anordnung der wichtigsten Restrictions,
> deshalb hab ich mich momentan an unterschiedliche Beispiele im Netz
> gehalten und wollt diese nach und nach anpassen.

Nimm die Musterlösung aus dem Buch und alles wird gut. Dort ist auch 
genau erklärt, warum was wie sein muß. Keine Experimente mit pipapo-
Lösungen die oft genug leider selber nur Quark beinhalten.

> Muss ich mir über die oben genannten Vorgänge Sorgen machen oder - so

Ja.

>  wie ich es als Laie interpretiere - hängen diese mit
> reject_unverified_sender zusammen und signalisiert, das der Client
> korrekterweise abgewiesen wurde?

"Korrekterweise" abgewiesen: JA, weil Du böses, böses Sender-Verify 
machst. Sorgen solltest Du Dir trotzdem machen, denn so funktioniert 
Dein Mailserver nicht und Du bist böse, böse.

> smtpd_recipient_restrictions =
>      reject_non_fqdn_recipient,
>      reject_non_fqdn_sender,
>      reject_unknown_sender_domain,
>      reject_unknown_recipient_domain,
>      permit_mynetworks,
>      permit_sasl_authenticated,
>      reject_sender_login_mismatch,
>      reject_unauth_destination,
>      check_recipient_access
> hash:/etc/postfix/konfiguration/maps/accept_roleaccount,

Zu spät.

>      check_sender_access
> hash:/etc/postfix/konfiguration/maps/reject_sender,

Zu spät.

>      check_recipient_access
> hash:/etc/postfix/konfiguration/maps/reject_recipient,

Zu spät.

>      check_helo_access
>  pcre:/etc/postfix/konfiguration/maps/check_helo,

Zu spät.

>      reject_unverified_sender,

böse, böse, böse.

Howtos, die sowas empfehlen, gehören sofort gelöscht.

> Ist die Config soweit in Ordnung oder gibt es "schwere Fehler" -

Sorry: schwere Fehler.


Peer



-- 
Heinlein Professional Linux Support GmbH
Linux: Akademie - Support - Hosting

http://www.heinlein-support.de
Tel: 030 / 40 50 51 - 0
Fax: 030 / 40 50 51 - 19

Zwangsangaben lt. §35a GmbHG:
HRB 93818 B / Amtsgericht Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein  -- Sitz: Berlin