[Postfixbuch-users] Roleaccounts: Feuer frei für alle

Uwe Drießen driessen at fblan.de
Fr Aug 16 23:52:43 CEST 2013


Im Auftrag von Igor Sverkos
> 
> > Dagegen wird ja nicht verstoßen, die Adressen gibt es und sofern die
Mails
> > so wie man diese erwartet beschaffen sind kommen die auch an.
> 
> Aber genau darum geht es doch (zumindest scheint Jan und ich es ähnlich
> verstanden zu haben):
> 
> Diese Role-Accounts sollten *keinerlei* Anforderungen an die Mails
stellen.
> Im Fehlerfalle ist es wichtig, dass der Admin davon Kenntnis erlangt und
> weniger, dass irgendeine Form gewahrt bleibt.

Es gibt nicht DIE Regel wie man es macht. 

> Das wirst du für deine Systeme wahrscheinlich ausschließen, aber ist es so
> konstruiert, dass durch ein fehlerhaftes Software-Update oder eine
> Konfigurationsänderung dein Amavisd bzw. die von ihm angesprochenen
> Virenscanner/was_auch_immer die Mail fressen? Was dann? Die Welt
> versucht dich zu informieren aber ein lokales Problem verhindert das.

wenn da was ausfällt habe ich ein größeres Problem wie das mich eine Mail
nicht erreicht. 

Und alleine wegen den Viren und der ganzen anderen Schadware gehen alle
Mails durch Virenscanner.
Meine Systeme habe ich zu schützen, sauber und am Funktionieren zu halten.
Von meinen Kunden Schaden fernzuhalten und dafür zu sorgen das diese keinem
anderen Schaden. Die Reputation meines Mailsystems und Websystems sind
wichtig. (und da sind auch schon Seiten gehackt worden)    

> 
> 
> Was unterscheidet denn dann bei dir noch einen Role-Account von einem
> normalen Postfach? Das wäre ja auch eine Antwort auf Jans Frage (an der
ich
> mich angeschlossen habe): Ich würde sagen nichts. Oder anders gesagt: Der
> Absatz im Buch galt eventuell mal vor 10j, aber heute gilt er nicht mehr.
> 
> Kann man das so sagen?
Der Absatz gilt "grundsätzlich" immer noch. Aber eben nur grundsätzlich und
nicht ausschließlich.
 
Ist evtl. unhöflich aber stell und beantworte dir die Fragen selber:

Wie kann ich dafür sorgen das ich wichtige Mails, echte Störungsmeldungen
zeitnah bearbeite?
Wie kann ich mir den "Beifang" vom Leib halten ohne das viel False Positive
auftreten?
Welche Checks kann ich auch für die Roleaccounts machen ohne das wichtige
Mails abgelehnt werden? 
Wie sieht der Beifang aus, was kann ich gegen den Beifang machen?
Woher kommt der Beifang im Vergleich zu den gewünschten Mails?

Ich benutze auch keine Roleaccounts zur "normalen" Kommunikation. Schreibt
einer an einen Roleaccount antworte ich von meiner "normalen" Mailadresse.
Die Roleaccounts sind nicht veröffentlich. Wer Ahnung hat weiß das die da
sein müssen und wird die dann auch benutzen.

Es sind viele kleine Bausteine die ein Mailsystem benutzbar halten und
einige Schräubchen an denen justiert werden kann.

> 
> 
> 
> > Und das wichtigste bei uns werden die sogar gelesen und  bearbeitet.(das
> ist
> > der wichtigste Punkt dieser Accounts)
> 
> 
> ...und genau deshalb ist es ja ein Problem für uns: Diese Role-Accounts
> laufen voll und es besteht die Gefahr, dass man echte Störungsnachrichten
> übersieht oder zumindest nicht zeitnah bearbeitet.

s.o.

> 
> 
> 
> > Hast du den ganzen "Beifang" ist der Verlust von Mails aus lauter Frust
in
> 
> > der Regel höher.
> > Kommen da 1000 Mails am Tag dann hast du auch 1000 Mails zu bearbeiten
> und
> > wenn davon 999 Spam sind viel Spaß die eine wichtige zu finden.
> > Kommen 10000 hast du ein gutes ABM-Programm aufgelegt.
> 
> 
> Ganz genau. Also siehe oben, du hast für dich entschieden, dass - sofern
der
> Absatz bei dir überhaupt einmal Anwendung fand, nicht mehr gilt. Role-
> Accounts werden prinzipiell genau so wie normale Postfächer geschützt.

Nein ich versuche den Spagat zwischen gar nix prüfen, überlaufenden
Roleaccounts  und sinnvoll moderat prüfen und gut arbeiten können. 

Bis dato geht es so und wenn es SO nicht mehr geht muß und werde ich
eingreifen.

> 
> Eventuell stufst du den Schutz ab, indem Role-Accounts von
> Greylisting/Postscreening ausgenommen werden, aber einen
> Freifahrtschein wie es dieser Buchabsatz ausdrückt, gibt es bei dir nicht
> (mehr).

Gerade die beiden Prüfungen sind auch für Roleaccounts drin. Denn die
bedeuten für echte Mailserver kein Hindernis.

Wofür brauchen Roleaccounts einen Freifahrtschein? Meldungen dazu kommen
kurz knackig als Textmails. Und werden sicherlich keine .exe Anhänge oder
ähnliches haben.

> 
> 
> Korrekt?
> 
> 
> 
> P.S: Ich habe Seite 408/409 nun noch einmal gelesen. Ich würde jetzt
sagen,
> dass da direkt nichts von einem Freifahrtschein steht. Jedoch wird in den
> vorherigen Seiten erklärt wie man eben sein System mit RBLs, Greylisting
> und policyd schützen soll und in dem Absatz heißt es dann, dass man diese
> Adressen davon ausnehmen sollte, was für mich einem Freifahrtschein gleich
> kommt.

Nunja der Autor wird sich für sich etwas dabei gedacht haben. Musst du den
Autor fragen.

Und mails an posmaster von Domains die auf RBL's drauf stehen weil der Admin
sein System sowieso nicht im Griff hat?
Der hat ganz andere Probleme wie sich bei mir zu beschweren das seine Mails
aufgrund einer RBL Listung nicht angenommen werden.
Selbst wenn ich die da für die Roleaccounts annehmen würde könnte ich Ihm
auch nur mitteilen er soll bitte dafür sorgen das er von den RBL's
runterkommt.

Weil für "normale" Accounts mache ich da keine Ausnahme.
Es gibt eine Policy zu deren Bedingungen mein Mailserver Mails annimmt. Wer
dagegen verstößt wird nicht transportiert. Und den 2 Mio Auftrag per Mail
gab es auch noch nicht.    
Es werden keine Mails in Spamordner wegsortiert sondern diese werden dem
Absendenden Server sofort abgelehnt, und was angenommen wird mir 250 wird
ins offizielle Postfach abgelegt.


Mit freundlichen Grüßen

Uwe Drießen
--
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert

Tel.: 06708660045




Mehr Informationen über die Mailingliste Postfixbuch-users