[Postfixbuch-users] Virenscan für ausgehende Mails - Wie
Ronny Seffner
ronny at seffner.de
Di Feb 19 13:41:50 CET 2013
Hallo Patrick,
> Wenn ich Dich richtig verstehe, dann besteht die Aufgabe Deines Server als
> Secondary MX darin, Nachrichten für die Domains des Primary MX
> anzunehmen falls er aus welchen Gründen auch immer gerade nicht
> verfügbar ist, oder?
>
Korrekt.
> Dann ist das Ziel IMO wichtiger als die Quelle. Ich würde in Postfix
> Nachrichten für die Domains für die Dein Server Secondary MX ist, in eine
> dedizierte Secondary policy_bank routen (z.B. über Interface Policy) und
dort
> dieselbe Filterregeln abbilden wie die des Primary, damit beide System ein
> konsistentes Verhalten gegenüber allen Clients, die an diese Domains
> senden wollen, aufweisen.
>
Ja, das ist natürlich der perfekte Weg. Wenn ich mich noch an den Widerstand
erinnere, die Listen gültiger Empfänger automatisch zu bekommen, wird das
nochmal recht lustig.
> Was Deine Kunden angeht für die Du nicht filtern willst: Du nimmst Mail
für
> deren Domain an. Damit geht die Verantwortung für die Zustellung an den
> Empfänger an Dich bzw. Deinen Server über. Wenn der Primary die Mails, die
> Du über die Hintertür dann abgeben willst, verwirft, stehst Du blöd da.
"Sie
> hatten die Mail doch angenommen!"
>
Oh ja, Deswegen ja auch das Streben nach gleichen Policies auf allen MXen.
> ICH würde da definitiv die policies des Endkunden fahren, weil ich glaube,
> dass man sich damit im Zweifelsfall ca. 3 KG Nerven schonen kann. ;)
>
Die ganz schlimmen Fälle haben daher einen "hidden" primary, der einfach
alles frisst, was ich liefere.
> Mach die für 25 zur default policy in amavis. Für 465 machst du eine und
> routest Sender dorthin wenn (!) Du sie eindeutig identifizieren kannst.
> Dasselbe gilt für 587. Da hast Du ein stabiles Kriterium wenn Du 587 RFC-
> konform betreibst und Mail nur dann annimmst, wenn der Client sich
> erfolgreich per SMTP AUTH angemeldet hat.
>
587 RFC konform heißt:
- ausschließlich authentifiziert?
- ausschließlich TLS? (smtpd_tls_auth_only = yes wirkt;
smtpd_tls_enforce_tls offeriert auch ohne TLS AUTH)
= so ist es jetzt
Der nächste Schritt wäre AUTH oder zumindest die PLAIN-Varianten von Port 25
wegzunehmen, das müssen aber erstmal alle Kunden wissen.
Mit freundlichen Grüßen / Kind regards
Ronny Seffner
--
Ronny Seffner | Alter Viehweg 1 | 01665 Klipphausen
www.seffner.de | ronny at seffner.de | +49 35245 72950
Mehr Informationen über die Mailingliste Postfixbuch-users