[Postfixbuch-users] Helo command rejected - sinnvoll?

"Jörg Sitek" Jogie at quantentunnel.de
Di Mär 19 15:46:28 CET 2013


Hi Andre,

> smtpd_helo_restrictions =
> reject_unknown_helo_hostname,
> reject_non_fqdn_helo_hostname,
> reject_invalid_helo_hostname
>
> Nun melden sich jetzt Kunden, Mails nicht erhalten, mit bspw. folgender
> Fehlermeldung.
>
> 554 5.7.1 <mail.ks102.cryonhost.eu>: Helo command rejected: Host not
> found (in reply to RCPT TO command)
>
> In den Logfiles kann ich sehen, dass Mails massenweise abgelehnt werden,
> meistens wegen HELO. Nun ist die Frage, ob dies der richtige Weg ist.

> Was meint ihr bzw. wie macht ihr das?

Hier gilt doch immer noch RFC 2821, oder? Darin steht ja klar beschrieben dass der HELO Name ein FQDN sein muss, somit ist der Einsatz von reject_non_fqdn_helo_hostname und reject_invalid_helo_hostname m.E. gerechtfertigt. Ich setzte diese Parameter seit Jahren produktiv ein und hatte keine Beschwerden bisher. Komischer Weise kam es beim Einsatz von reject_unknown_helo_hostname zu erheblichen False-Positives, warum auch immer. In den RFC steht ja nur, dass es ein FQDN sein muss, ob der Gültig ist oder nicht... Wichtig ist auch, dass die IP von der gesendet wird einen gültigen A-Record und RDNS auf den gleichen Namen haben muss. In den RFC steht aber nicht, dass der FQDN = A-Record sein muss. Dies wird aber z.B. vom DNSBL Tool Policyd-Weight geprüft. Da musste ich dann den Wert etwas anpassen, damit einzelne, die kleinere Konfigurationsunterschiede hatten nicht geblockt werden.

Bei den ganzen Restrictions gibt es meiner Meinung nach nicht "DIE LÖSUNG". Hier muss jeder einsetzen was für ihn passt und eine Balance zwischen möglichst wenig SPAM-Aufkommen und noch weniger Support Anfragen von Kunden.

Ich halte es so, dass ich die Postmaster der sendenden Systeme auf das Problem hinweise. Mit Administratoren anderer Firmen hatte ich da noch nie Probleme und wir haben immer eine Lösung gefunden, die meist hieß "FQDN = A-Record = RDNS" ;-)

Postscreen ist sehr zu empfehlen, habe damit Policyd-Weight abgelöst und bin begeistert :)

Alternativ die Parameter einfach mit warn_if_reject eintragen (habe ich auch so) und gucken was so passiert (1,2,3 Tage das Log beobachten oder mit pflogsumm eine Statistik per Mail zusammenstellen).

Gruß, Jörg

Hier mal meine Ristrictions, die eig. fast die aus dem Buch sind...

# --- Bilddarm von Postfix leeren ---
smtpd_client_restrictions =
smtpd_helo_restrictions =
smtpd_sender_restrictions =
smtpd_data_restrictions =
smtpd_end_of_data_restrictions =

# --- Ab hier die Empfangspruefung ---

smtpd_recipient_restrictions =
# Postmaster, abuse und andere Role Accounts Whitelisten
 check_recipient_access btree:/etc/postfix/lists/access_recipient-rfc,

# White- und Blacklisting
 check_client_access cidr:/etc/postfix/lists/access_client,
 check_helo_access btree:/etc/postfix/lists/access_helo,
 check_sender_access btree:/etc/postfix/lists/access_sender,

# Keine unsauberen Mails annehmen
 reject_non_fqdn_sender,
 reject_unknown_sender_domain,
 reject_non_fqdn_recipient,
 reject_unknown_recipient_domain,

#Unsere Nutzer erlauben
# permit_sasl_authenticated,
 permit_mynetworks,

#RBLs checken (DNS, greylisting)
 reject_invalid_helo_hostname,
 reject_non_fqdn_helo_hostname,
 warn_if_reject reject_unknown_helo_hostname,
 check_policy_service inet:127.0.0.1:10023,
 reject_unauth_pipelining,

# Alles andere relaying verbieten
 reject_unauth_destination,

# Was jetzt noch ist, darf durch
# permit_mx_backup,
 permit

Und Postscreen:

# PostScreen Einstellungen (SPAM-Blocking)
postscreen_pipelining_enable        = yes
postscreen_pipelining_action        = drop
postscreen_non_smtp_command_enable  = yes
postscreen_bare_newline_enable      = yes
postscreen_bare_newline_action      = drop
postscreen_greet_action             = drop
postscreen_access_list = permit_mynetworks, cidr:/etc/postfix/lists/postscreen_access.cidr
postscreen_dnsbl_action             = drop
postscreen_dnsbl_threshold          = 3
postscreen_dnsbl_sites =
    zen.spamhaus.org*2,
    bl.spamcop.net,
    cbl.abuseat.org,
    ix.dnsbl.manitu.net*2,
    dnsbl.sorbs.net,
    b.barracudacentral.org



Mehr Informationen über die Mailingliste Postfixbuch-users