[Postfixbuch-users] Body-Checks: Ablehnung der E-Mail

Christian Moestchen christian at moestchen.de
Di Sep 21 09:56:41 CEST 2010


Hallo Sandy,

> Das ist genau der Fehler. Du versuchst, den externen Absender zu informieren.
> Bei einer normalen Mail ist dies aber nicht sinnvoll. Wenn dein Server mit
> Pre-Queue-Filter die Mail abweist, dann hat der sendende Server die Pflicht,
> die Mail an den Absender zu bouncen. Dies ist nicht die Aufgabe
> deines Servers!
> Nur, wenn dein Server die Mail bereits angenommen hat, übernimmst du die
> Verantwortung für die Mail.
> 
>> (The message WAS NOT relayed to)
>> - was fehlschlägt (Connection timed out) und die E-Mail in der Mailqueue
>> landet (status=deferred).
>>
>>
>> Hab ich in meiner Konfiguration einen Fehler, das er die E-Mail nicht los wird
>> oder ist das normal?
>> Was kann ich dagegen tun?
> 
> Amavis richtig konfigurieren. Du hast die Option aktiviert, dass der Absender
> bei abgelehnten Mails benachrichtigt wird. Wenn der Absender gefälscht ist,
> wie bei Spam üblich, hast du Probleme.
> Schalte diese Option ab.

In meiner Amavis-Konfiguration habe ich entsprechend den Vorschlägen
aus dem Buch
folgendes zu stehen:
$final_virus_destiny           = D_REJECT;
$final_banned_destiny          = D_REJECT;
$final_spam_destiny            = D_REJECT;
# $final_bad_header_destiny    = D_PASS;

Mit Hilfe von Google bin ich zusätzlich auf folgendes gestoßen und
hoffe das es
dem entspricht, was du mir empfohlen hast und die korrekten
Einstellungen sind?
$warn_offsite                  = 1;
$warnspamsender                = 0;
$warnbadhsender                = 0;
$warnbannedsender              = 0;
$warnvirussender               = 0;


>> smtpd_recipient_restrictions =
>> check_recipient_access btree:/etc/postfix/config/roleaccount_allow,
>> check_client_access cidr:/etc/postfix/config/client_allow,
>> check_client_access cidr:/etc/postfix/config/client_deny,
>> check_helo_access btree:/etc/postfix/config/helo_allow,
>> check_helo_access btree:/etc/postfix/config/helo_deny,
>> check_sender_access btree:/etc/postfix/config/sender_allow,
>> check_sender_access btree:/etc/postfix/config/sender_deny,
>> check_recipient_access btree:/etc/postfix/config/recipient_allow,
>> check_recipient_access btree:/etc/postfix/config/recipient_deny,
> 
> Die Reihenfolge der Black- und Whitelist-Checks ist ziemlich abstrus.
> 
> Normalerweise ist die Reihenfolge so:
> - Checks für ALLE Clients (Checks, welche notwendig sind für eine korrekte
> Mail, wie non_fqdn_sender, non_fqdn_recipient etc.)
> - permit_mynetworks, permit_sasl_authenticated
> - reject_unauth_destination
> - reject_unlisted_recipients
> - Whitelist-Checks
> - Blacklist-Checks
> 
> Aber du solltest nicht die Reihenfolge von Black- und Whitelists wild
> mischen.
> Auch solltest du mit Whitelist-Checks vor reject_unauth_destination sehr
> vorsichtig sein.
Hm, leider bin ich wie gesagt (noch) Anfänger und für alle Ratschläge
offen. Denn
schließlich möchte ich dazu lernen und meine Konfiguration optimieren.
Deswegen hatte ich mich als Einstieg extra an die Musterlösung gehalten
und
wie heißt es dort so schön: "... die ich auf nahezu jedem Mailserver in
(fast) jedem Szenario so einsetze.".
Und hier werden erst die Roleaccounts freigeschaltet und dann folgen
schon
die White-/Blacklists. Der einzige Unterschied ist, das ich die
White-/Blcklists
in jeweils extra Dateien aufgeteilt habe. Wobei ehrlich gesagt die
*_allow 
leer sind.


> dsbl.org ist tot.
> securitysage.com genauso. Deine Listen sind nicht gerade gepflegt.
Habe ich herausgenommen - vielen Dank für den Hinweis.
Da Postfix/Amavis noch nicht mein Thema ist, habe ich mich hier
vorwiegend
an das Postfixbuch (3. Auflage) gehalten.


Viele Grüße
Christian





Mehr Informationen über die Mailingliste Postfixbuch-users