[Postfixbuch-users] Vom Mailserver zum Relais (bzw. Server ohne lokale Postfächer)

Sandy Drobic postfixbuch-users at drobic.de
Di Aug 2 17:42:10 CEST 2011 

On 02.08.2011 10:00, F.Guenther at t-systems.com wrote:
> Danke erst einmal.. hier die postconf -n

Von welchem System, dem Mailserver mit den Postfächern?
Ich gehe jetzt davon aus, dass es der Backend-Server mit den Postfächern ist.

> alias_database = hash:/etc/aliases
> alias_maps = hash:/etc/aliases
> append_dot_mydomain = no
> biff = no
> broken_sasl_auth_clients = yes
> config_directory = /etc/postfix
> content_filter = smtp-amavis:[127.0.0.1]:10024
> home_mailbox = Maildir/
> inet_interfaces = all
> mailbox_size_limit = 0
> mydestination = mailer.server.de, localhost.server.de, localhost, server.de, andereDom.de

MyDestination = lokale Domains, Postfächer liegen auf dem Server hier.
Gültige Adressen = Domains in mydestination + user in /etc/passwd und
/etc/aliases.

> myhostname = mailer.server.de
> mynetworks = 1.2.3.....
> myorigin = /etc/mailname
> readme_directory = no
> receive_override_options = no_address_mappings
> recipient_delimiter = +
> relayhost = 

Hier den Relayserver eintragen:
relayhost = [ip.of.relay.host]

> smtp_sasl_password_maps = hash:/etc/passwd
> smtp_tls_CAfile = /etc/postfix/ssl/rootcert.cer
> smtp_tls_cert_file = /etc/postfix/ssl/cert.pem
> smtp_tls_key_file = /etc/postfix/ssl/priv-key.pem
> smtp_tls_note_starttls_offer = yes
> smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
> smtpd_banner = $myhostname ESMTP $mail_name
> smtpd_helo_required = yes
> smtpd_proxy_filter = [localhost]:10024

Wieso gleichzeitig content_filter UND proxy_filter? Hier sollte entweder oder
genutzt werden. Meistens setzt man diese Option in der master.cf auf dem
Listener, welcher die Mails entgegennimmt.

> smtpd_recipient_restrictions = 
	check_sender_access btree:/etc/postfix/reject_taiwan,
	check_client_access btree:/etc/postfix/reject_taiwan,
        reject_non_fqdn_sender,
        reject_non_fqdn_recipient,
        reject_unknown_sender_domain,
	reject_unknown_recipient_domain,
        permit_sasl_authenticated,
        permit_mynetworks,
	reject_rbl_client zen.spamhaus.org,
	reject_rbl_client ix.dnsbl.manitu.net,
	reject_rbl_client bl.spamcop.net,
	reject_rbl_client dnsbl.njabl.org,
	reject_rbl_client list.dsbl.org,
	reject_rbl_client blackholes.easynet.nl,
    	reject_rbl_client cbl.abuseat.org,
    	reject_rbl_client proxies.blackholes.wirehub.net,
    	reject_rbl_client opm.blitzed.org,
    	reject_rhsbl_sender blackhole.securitysage.com,
	reject_rhsbl_client blackhole.securitysage.com,
	check_policy_service inet:127.0.0.1:12525,
        reject_unauth_destination,
        permit

Hier müsstest du mal etwas pflegen. Einige Blacklists sind seit Jahren schon
gestorben und führen nur zu Verzögerungen bei DNS-Abfragen, andere sind in
Sammel-RBLs enthalten.
Wenn du die RBLs nutzen willst, solltest du auch die Policies dieser Listen
kennen. Deshalb überlasse ich dir das Prüfen der Policies und das Entdecken,
welche gestorben sind und welche überflüssig sind.

Je nachdem, ob du auf deinem Server viele Mails empfängst, ist es auch
sinnvoll, vor den RBLs zuerst ein reject_unlisted_recipients zu setzen, dann
werden nicht alle RBLs abgefragt, wenn der Empfänger ohnehin nicht existiert
und die Email abgewiesen wird. Sauberer ist es ohnehin, da viel
resourcenschonender.
Genauso auch das "reject_unauth_destination" vor dir RBLs.

Insgesamt sollten die noch sinnvollen RBLs und die reject_taiwan natürlich auf
dem Mailrelay dann geprüft werden, nicht mehr auf dem Backendserver. Auch der
Policyserver (wenn es ein Greylisting implementiert).

> smtpd_sasl_auth_enable = yes
> smtpd_sasl_authenticated_header = no
> smtpd_sasl_local_domain = mailer.server.de,server.de,andereDom.de
> smtpd_sasl_security_options = noanonymous
> smtpd_sasl_tls_security_options = noanonymous
> smtpd_tls_CAfile = /etc/postfix/ssl/rootcert.cer
> smtpd_tls_auth_only = no
> smtpd_tls_cert_file = /etc/postfix/ssl/cert.pem
> smtpd_tls_key_file = /etc/postfix/ssl/priv-key.pem
> smtpd_tls_loglevel = 3
> smtpd_tls_received_header = yes
> smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
> smtpd_tls_session_cache_timeout = 3600s
> smtpd_use_tls = yes
> strict_rfc821_envelopes = no
> tls_random_source = dev:/dev/urandom
> transport_maps = hash:/etc/postfix/transport
> virtual_alias_maps = hash:/etc/postfix/virtual-domains
> 
> 
>

Mehr Informationen über die Mailingliste Postfixbuch-users