[Postfixbuch-users] Prüfungen von amavisd in Abhängigkeit von policy daemon übergehen

Franz Schwartau franz at electromail.org
Mi Aug 7 12:10:03 CEST 2013


Liebe Liste,

folgendes Setup habe ich mit postfix 2.6 und amavisd 2.8.0:

postfix ruft in smtpd_recipient_restrictions einen Policy Daemon
auf, der in Abhängigkeit von der Empfänger-Domain Einträge in einer
SQL-Datenbank abfragt. Als Resultat liefert die Abfrage vereinfacht
OK oder REJECT. Der REJECT-Fall ist unproblematisch. Ein OK soll
dazu führen, dass amavisd, der über smtpd_proxy_filter in postfix
eingebunden ist, keine weiteren Überprüfungen mehr vornimmt. Ich
möchte verhindern, dass ein Whitelist-Eintrag in der Datenbank dazu
führt, dass amavisd u. U. die SMTP-Transaktion später doch noch
abweist.

Bisher ist es mir gelungen, über den Policy Daemon mit PREPEND einen
Header einzufügen, der von spamassassin ausgewertet wird. Durch
einen sehr niedrigen Score führt es dazu, dass die SMTP-Transaktion
von spamassassin nicht abgewiesen wird.

Allerdings gefällt mir die Lösung nicht so richtig. Zum einen kann
der Header theoretisch von außen gesetzt werden. Zwar wird er nach
spamassassin via header_checks entfernt, sodass er nicht nach außen
sichtbar ist. Ein Risiko ist es trotzdem. Auch wenn ein eigentlich
nicht zu erratender Header genommen wird, ist es security through
obscurity. Zum anderen kann ich durch eine rule in spamassassin
nicht verhindern, dass ein Virenscan durch amavisd gemacht wird.

Die Frage ist, wie kann ich mit dem Gespann postfix/policy
daemon/amavisd erreichen, dass aufgrund von Prüfungen des Clientnamens,
der Clientaddresse, des Hello-Arguments, der Absenderaddresse und
der Empfänger-Adresse(n) keine Prüfungen des DATA-Blocks mehr
stattfinden.

Ich bin für jedwede Idee dankbar.

	Grüße
		Franz



Mehr Informationen über die Mailingliste Postfixbuch-users