[Postfixbuch-users] Virenscan für ausgehende Mails - Wie

Patrick Ben Koetter p at sys4.de
Sa Feb 16 21:25:41 CET 2013


* Ronny Seffner <postfixbuch-users at listen.jpberlin.de>:
> > extern > extern
> >         Das will man nicht. Da ist man ein Open Relay
> > 
> In welches Modell fällt dann der Fall, ich bin 2dn MX?
> Netztechnisch streng gesehen ist es ja extern > extern, aus postfix-Logik
> sicher nicht ganz, weil der ja irgendwo eine Mappe hat, die die
> Zuständigkeit für diese Domains belegt (und ggf. einen Transport definiert).

Was die Senderichtung angeht, ist Dein Server Secondary MX. Mails von fremden
Sendern kommen zu Dir und Dein Server behält sie nicht für sich selbst,
sondern routet sie weiter.

ABER (war klar, dass da eines kommt, oder?) Dein Server ist ja kein Open
Relay, so wie ich es im Blog anspreche, oder?

Wenn ich Dich richtig verstehe, dann besteht die Aufgabe Deines Server als
Secondary MX darin, Nachrichten für die Domains des Primary MX anzunehmen falls
er aus welchen Gründen auch immer gerade nicht verfügbar ist, oder?

Dann ist das Ziel IMO wichtiger als die Quelle. Ich würde in Postfix
Nachrichten für die Domains für die Dein Server Secondary MX ist, in eine
dedizierte Secondary policy_bank routen (z.B. über Interface Policy) und dort
dieselbe Filterregeln abbilden wie die des Primary, damit beide System ein
konsistentes Verhalten gegenüber allen Clients, die an diese Domains senden
wollen, aufweisen.

Wenn Du das auf die Spitze treiben willst, dann nutzen Primary und Secondary
MX dieselben Ressourcen wie z.B. Bayes DB. Wir haben das letztes Jahr in einem
FETTEN Mailcluster gemacht. Da kommt man dann an die Grenzen der Physik. Hat
aber richtig Spaß gemacht. :)


> > intern > extern
> >         Alles was über Port 587 durch MUA zu MTA (client/server) 
> >         Kommunikation
> >         den MTA (Postfix) betritt. Dort leitet Postfix es über einen
> >         besonderen (weiteren) Port in amavis. Der leitet alles auf diesem 
> >         Port in eine eigene policy_bank. (Das ist "Kommt von 
> >         ORIGINATING" und geht nicht nach "meine Domains")
> > 
> Leider will ich auch hier einwerfen, dass es so schwarz/weiß nicht ist:
> Was ist mit den Authentifizierten Sendern die nicht TLS 587 sondern SSL 465
> nehmen? Den Port verwenden auch andere Mailserver, wenn wir untereinander
> verschlüsselt sprechen wollen. Konkret habe ich einen Kunden, für den bin
> ich 2nd MX und sein Partner besteht auf Zertifikaten und SSL, ich wiederum
> will als 2nd MX nicht anfangen deren Post zu filtern - geht mich an der
> Stelle nichts an, weil ich "nur" fallback bin. Klar, für den einen Fall
> könnte man sicher eine Ausnahme definieren.

Wichtig ist - unabhängig davon ob die Sender über SSL oder nicht reinkommen -
ob Du zweifelsfrei feststellen kannst mit welchem Sender Du zu tun hast.

Du kannst Sender auf diese Weise eindeutig identifizieren:

- hat eine bekannte, statische IP
- hat sich erfolgreich per SMTP AUTH an einem Port (z.B. Submission)
  angemeldet, der _nur_ per SMTP AUTH nutzbar ist
- verfügt über ein SSL/TLS Client-Zertifikat und nutzt einen SMTP-Service, der
  nur bestimmten TLS Client-Zertifikaten die Nutzung gestattet
- nutzt DKIM-Signaturen, um seine Mails zu signieren und die damit
  gekennzeichnete Senderdomain kann einer amavis Policy Bank zugeroutet werden

Wie Du siehst, habe ich ausschliesslich 'harte' Kriterien zugelassen bzw.
gelistet. Man kann 'weiche' Kritieren wie z.B. Mailadresse in amavis auch noch
verwenden, aber davon rate ich Dir ab. Es gibt einfach zuviele Spammer, die
genau nach solchen Lücken suchen und sie ausnutzen wollen.

Meine oben gelisteten Kriterien sind im Alltag schwierig bis gar nicht
auszunutzen.

Was Deine Kunden angeht für die Du nicht filtern willst: Du nimmst Mail für
deren Domain an. Damit geht die Verantwortung für die Zustellung an den
Empfänger an Dich bzw. Deinen Server über. Wenn der Primary die Mails, die Du
über die Hintertür dann abgeben willst, verwirft, stehst Du blöd da. "Sie
hatten die Mail doch angenommen!"

ICH würde da definitiv die policies des Endkunden fahren, weil ich glaube,
dass man sich damit im Zweifelsfall ca. 3 KG Nerven schonen kann. ;)

> > Es ist kein verlässliches Kriterium.
> > 
> Stimmt. Drum will ich mich mit dem Gedanken anfreunden eine Policy für die
> Ports 465 und 587 zu fahren und eine weitere für 25.

Mach die für 25 zur default policy in amavis. Für 465 machst du eine und
routest Sender dorthin wenn (!) Du sie eindeutig identifizieren kannst.
Dasselbe gilt für 587. Da hast Du ein stabiles Kriterium wenn Du 587
RFC-konform betreibst und Mail nur dann annimmst, wenn der Client sich
erfolgreich per SMTP AUTH angemeldet hat.

p at rick

-- 
[*] sys4 AG
 
http://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Axel von der Ohe, Marc Schiffbauer
Aufsichtsratsvorsitzender: Joerg Heidrich
 



Mehr Informationen über die Mailingliste Postfixbuch-users