[Postfixbuch-users] Postfix 2.10. Neue Parameter

So Apr 28 21:02:10 CEST 2013

Am 28.04.2013 schrieb Stefan G. Weichinger:

> Am 28.04.2013 17:04, schrieb Daniel Luttermann:

>>> smtpd_relay_restrictions =        permit_mynetworks,
>>>         permit_sasl_authenticated,
>>>         reject_unauth_destination
>> 
>> Ja, diese kommen in die smtpd_relay_restrictions.
>> 
>>> ... auch die RBLs etc?
>> 
>> Nein, die übrigen Dinge bleiben nach wie vor in den
>> smtpd_recipient_restrictions.

> ok, danke .... also so?

->>

> smtpd_recipient_restrictions = reject_unknown_sender_domain,
>         reject_unlisted_recipient,
>         reject_invalid_hostname,
>         reject_non_fqdn_sender,
>         reject_unknown_recipient_domain,
>         check_recipient_access hash:/etc/postfix/hold_domains,
>         reject_rbl_client zen.spamhaus.org,
>         reject_rhsbl_client dbl.spamhaus.org,
>         check_recipient_access
> hash:/etc/postfix/roleaccount_exceptions,
>         check_client_access hash:/etc/postfix/access_mazedonia,
>         # policyd-weight 12525
>         check_policy_service inet:127.0.0.1:12525,
>         # postgrey 10030 ... kann IPv6
>         check_policy_service inet:127.0.0.1:10030,
>         check_recipient_access hash:/etc/postfix/verify_domains,
>         permit

ich würde die RBL's weiter hinten angeben oder aber policyd-weight
allein dafür verwenden. Grund: Du verwendest roleaccount_exceptions,
in welcher vermutlich so Dinge wie postmaster@ usw. angegeben sind.
Diese Adressen sollen ja in jedem Fall erreichbar sein unabhängig
davon, ob eine IP auf einer Blacklist ist oder ähnliches. Sonst kann
der "Postmaster" ja nicht von einem Absender kontaktiert werden, wenn
sich dessen IP auf einer schwarzen Liste befindet.

Wenn du policyd-weight verwendest: dort sind ja auch schon diverse
DNSBL's hinterlegt, die abgefragt werden. In der Standardkonfiguration
ist dort schon beispielsweise Spmahaus, Spamcop, Manitu usw.
enthalten. Du lässt aber auch noch Postfix Zen und PBL abfragen. Das
ist meiner Meinung nach unnötig, da einerseits policyd-weight schon
diverse RBL's abfrägt, andererseits die Abfragen fast schon doppelt
sind (versch. Spamhaus Zonen).

Ich würde diese Aufgabe (DNSBL's) entweder Postfix oder policyd-weight
überlassen, aber nicht beiden gleichzeitig. Ich würde daher die
smtpd_recipient_restrictions dahingehend anpassen:

smtpd_recipient_restrictions = reject_non_fqdn_recipient,
        reject_unknown_recipient_domain,
        reject_unknown_sender_domain
        reject_non_fqdn_sender,
        reject_unlisted_recipient,
        check_recipient_access hash:/etc/postfix/roleaccount_exceptions,
        reject_invalid_hostname,
        check_recipient_access hash:/etc/postfix/hold_domains,
        check_client_access hash:/etc/postfix/access_mazedonia,
        # policyd-weight 12525
        check_policy_service inet:127.0.0.1:12525,
        # postgrey 10030 ... kann IPv6
        check_policy_service inet:127.0.0.1:10030,
        check_recipient_access hash:/etc/postfix/verify_domains,
        permit

policyd-weight kann man in der Standardkonfiguration belassen, oder
weitere DNSBL's hinzufügen. Btw: hast du in deiner policyd-weight
Konfiguration schon dnsbl.njabl.org deaktiviert?

> smtpd_relay_restrictions =
>         permit_mynetworks,
>         permit_sasl_authenticated,
>         reject_unauth_destination

> (zur Sicherheit ;-) )

Die smtpd_relay_restrictions sind in Ordnung.

--
Daniel