[Postfixbuch-users] Mailgateway und Backscatter

Sven Vogler sven_vogler at landkreismol.de
Do Aug 5 16:51:06 CEST 2010 

Am 05.08.2010 13:14, schrieb Uwe Driessen:
> 
> 
> On Behalf Of Sven Vogler
>>> Mein Ziel ist es allerdings, eine sog. Barracuda-Spam-Firewall abzulösen
>>> (keine Angst, die heißt nur so: In Wirklichkeit ist es ein Spam-Magnet,
>>> da sie erstmal auch für Spams eine 250 abgibt und kein greylisting kennt
>>> (von Real-time-Filterung kann auch keine Rede sein)). Dazu möchte ich
>>> einige gewohnte "Features" abbilden, die wir an diesem System nutzen.
>>> Mein Problem begann bei der Einbindung der Header- und Bodychecks.... Da
>>> generierte Amavis dann Backscatter, die nicht gewollt sind. Jetzt habe
>>> ich in der amavis.conf noch "rumgespielt" und es werden keine
>>> Backscatter versandt, aber es sieht nicht wirklich schön im Logfile aus
>>> .... (Ach so, das ganz läuft z.Z. nat. in einer Testumgebung)
>>> Ich bin sicher, dass das besser geht, habe aber dazu in Netz nichts
>>> gefunden. Über Tipps und Hinweise zur Konfiguration oder Links zum
>>> Nachlesen würde ich mich freuen, vielen Dank im voraus.
> 
> Wenn angenommen dann geht nur noch der Bounce. Man sollte sich auch tunlichst von
> /dev/null bei ungewünschter Mail fernhalten (kann den Tatbestand der Unterdrückung von
> Nachrichten oder so ähnlich erfüllen). Einzige Ausnahme Viren usw.

Hallo Uwe,

ja, daß ist mir klar. Und daher sorge ich mich auch und habe eigentlich
gedacht, durch die Nutzung des smtpd_proxy_filters könnte ich die ganze
Problematik geschickt umgehen.
> 
> Also vorher soweit den Absender prüfen das ein Bounce auch den Richtigen erreicht.
> 
> Wie wäre es denn mit Prequeue Filterung? Filtern bevor 250 an den Gegenüber rausgeht und
> sofortige Ablehnung innerhalb der Verbindung? Das hat Peer mit Sicherheit auch in seinem
> Buch beschrieben.
> 
> Und zu welchem Zweck den ganzen mist erst annehmen wenn ich vorhersagen kann das ich
> diesen eh nicht möchte.
> Im Logfile steht einfach alles wichtige drin wann wer was gemacht hat. Wofür wird denn ein
> "schönes" Logfile benötigt? 

Ich meinte, genau wäre der smtp_proxy_filter da - oder?
> 
> Über syslog-ng kannst du auch bestimmte logs in andere Files loggen lassen. Dann wird das
> Mail.log evtl. übersichtlicher aber bei Probs schwerer rauszufinden was alles gelaufen
> ist.
> 
>>> smtpd_recipient_restrictions =
>>> 	check_client_access cidr:/etc/postfix/access-client,
>>> 	check_sender_access hash:/etc/postfix/access-sender,
>>> 	check_recipient_access hash:/etc/postfix/access-recipient,
>>> 	reject_unverified_recipient,
>>> 	reject_unknown_sender_domain,
>>> 	reject_unknown_recipient_domain,
>>> 	permit_mynetworks,
>>> 	check_policy_service inet:127.0.0.1:12525, # policyd-weight
>>> 	check_policy_service inet:127.0.0.1:10023, # postgrey
>>> 	reject_unauth_destination,
>>> 	permit
> 
> Relativ wenig Prüfungen wer da versucht an wen zu senden.
> Das letzte permit kann man sparen denn wer die letzte Prüfung überstanden hat wird auch
> angenommen.

Ok, permit geht raus (Das war mir auch klar, aber ich meinte es sollte
"der Ordnung halber" drin sein :-)). Ich werde auch die Reihenfolge
(erst postgrey, dann policy-weight) umdrehen, um weniger Anfragen an die
BL (z.B. spamhaus) zu stellen).

> Wie sieht die Master.cf aus? 

so:
smtp    inet n -        n       -       -       smtpd
        -o smtpd_proxy_filter=localhost:10024
        -o content_filter=
localhost:10025   inet n -      n       -       60      smtpd
        -o content_filter
        -o smtpd_proxy_filter=
pickup    fifo  n       -       n       60      1       pickup
cleanup   unix  n       -       n       -       0       cleanup
qmgr      fifo  n       -       n       300     1       qmgr
rewrite   unix  -       -       n       -       -       trivial-rewrite
bounce    unix  -       -       n       -       0       bounce
defer     unix  -       -       n       -       0       bounce
trace     unix  -       -       n       -       0       bounce
verify    unix  -       -       n       -       1       verify
flush     unix  n       -       n       1000?   0       flush
proxymap  unix  -       -       n       -       -       proxymap
smtp      unix  -       -       n       -       -       smtp
relay     unix  -       -       n       -       -       smtp
        -o fallback_relay=
showq     unix  n       -       n       -       -       showq
error     unix  -       -       n       -       -       error
discard   unix  -       -       n       -       -       discard
local     unix  -       n       n       -       -       local
virtual   unix  -       n       n       -       -       virtual
lmtp      unix  -       -       n       -       -       lmtp
anvil     unix  -       -       n       -       1       anvil
scache    unix  -       -       n       -       1       scache
maildrop  unix  -       n       n       -       -       pipe
  flags=DRhu user=vmail argv=/usr/local/bin/maildrop -d ${recipient}
uucp        unix        -             n       n       -       -       pipe
  flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail
($recipient)
ifmail    unix  -       n       n       -       -       pipe
  flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient)
bsmtp     unix  -       n       n       -       -       pipe
  flags=Fq. user=foo argv=/usr/local/sbin/bsmtp -f $sender $nexthop
$recipient
procmail  unix  -       n       n       -       -       pipe
  flags=R user=nobody argv=/usr/bin/procmail -t -m /etc/procmailrc
${sender} ${recipient}
retry     unix  -       -       n       -       -       error
proxywrite unix -       -       n       -       1       proxymap



> 
> Mit freundlichen Grüßen
> 
> Drießen
> 


-- 
Mit freundlichen Grüssen
Sven Vogler

Mehr Informationen über die Mailingliste Postfixbuch-users