[Postfixbuch-users] Virenscan für ausgehende Mails - Wie

Patrick Ben Koetter p at sys4.de
Fr Feb 15 21:27:45 CET 2013


* Ronny Seffner <postfixbuch-users at listen.jpberlin.de>:
> > p at rick
> > 
> Hallo "P" bei  Rick (es ist Freitag, verzeih),
> 
> > > > > Also schaue ich mir jetzt amavisd-new an. Kann der denn in- und 
> > > > > outbound trennen.
> > > > 
> > > > Amavis kann das nicht, postfix schon.
> > > > 
> > > Cool. Wie?
> > 
> > "Kommt von ORIGINATING" und geht nicht nach "meine Domains"
> > 
> Ich hätte fragen sollen "Wo".
> 
> Ich bin jetzt auf den Trichter gekommen, in den smtpd_*_restrictions mit
> einer check_sender_address Map einen FILTER auf amavis zu setzen.
> 
> Ich glaube nicht, dass es das ist, was Du meintest, denn Deine
> Filterformulierung ist komplexer.

extern > intern
        Alles was über Port 25 in den MTA reinkommt. MTA zu MTA Kommuniation
        Das schiebt man in der Regel in die globale (default) Konfiguration
        von amavis.
extern > extern
        Das will man nicht. Da ist man ein Open Relay
intern > extern
        Alles was über Port 587 durch MUA zu MTA (client/server) Kommunikation
        den MTA (Postfix) betritt. Dort leitet Postfix es über einen
        besonderen (weiteren) Port in amavis. Der leitet alles auf diesem Port
        in eine eigene policy_bank. (Das ist "Kommt von ORIGINATING" und geht
        nicht nach "meine Domains")
intern > intern
        Auch wie intern > extern aber amavis wendet zusätzlich Regeln an, die
        für die Domains gelten für die es sich zuständig fühlt.

> So kann ich nun Mails bestimmter Senderdomains veranlassen durch amavis zu
> laufen. Ob das optimal ist? Für heute Abend reicht es jedenfalls.

Es ist kein verlässliches Kriterium. Im Idealfall tut es was Du willst, aber
man kann den Absender auch fälschen (ich würde das tun, wenn ich Dich
reinlegen wollte...) und dann würde meine Mail als vertrauenswürdige
Senderdomain gelten und Deine Filter würden mir völlig zu Unrecht eine
Sonderbehandlung zugestehen. Nein, ich rate Dir definitiv davon ab.

> Um alle SASL authentifizierten Mails zu checken, müsste man nach meiner
> Methode wohl Folgendes tun:
> permit_mynetworks
> check_*_access regexp:/etc/postfix/catchall-amavis (mit FILTER nach amavis)
> permit_sasl_authenticated
> check_*_access regexp:/etc/postfix/catchall-non (mit leerem FILTER, geht
> sowas überhaupt)

Kannst Du sie nicht über Port 587 reinholen? Wenn Du neu konfigurieren musst,
dann sieh Dir http://automx.org an. Das macht Konten neu aufsetzen zum
Kinderspiel.

p at rick

-- 
[*] sys4 AG
 
http://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Axel von der Ohe, Marc Schiffbauer
Aufsichtsratsvorsitzender: Joerg Heidrich
 



Mehr Informationen über die Mailingliste Postfixbuch-users