[Postfixbuch-users] DISCARD bei Verwendung von smtpd_proxy_filter nicht verfügbar - Alternativen?
Christian Garling
christian.garling at cg-networks.de
Mi Apr 16 14:28:14 CEST 2014
Hallo,
Am 16.04.2014 14:05, schrieb Peer Heinlein:
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
>
> Am 16.04.2014 13:53, schrieb Christian Garling:
>
>
>
> Siehe Anhang.
so sehen meine im Grunde auch aus (in Anlehnung an das Quota Kapitel aus
dem Dovecot Buch):
smtpd_recipient_restrictions =
# role accounts (abuse and postmaster)
check_recipient_access
hash:/etc/postfix/access_maps/role_accounts,
# whitelists / blacklists
check_client_access
hash:/etc/postfix/access_maps/hostname,
check_client_access
cidr:/etc/postfix/access_maps/ip.cidr,
check_helo_access
hash:/etc/postfix/access_maps/helo,
check_helo_access
pcre:/etc/postfix/access_maps/helo.pcre,
check_sender_access
hash:/etc/postfix/access_maps/sender,
check_recipient_access
hash:/etc/postfix/access_maps/recipient,
# reject non-compliant mails
reject_non_fqdn_sender,
reject_non_fqdn_recipient,
reject_unknown_sender_domain,
reject_unknown_recipient_domain,
reject_invalid_hostname,
# permit local users
permit_sasl_authenticated,
permit_mynetworks,
# reject non-final-destination mails
reject_unauth_destination,
# policyd-weight
check_policy_service inet:127.0.0.1:12525,
# postgrey
check_policy_service inet:127.0.0.1:10023,
# dynamic recipient verification
reject_unverified_recipient,
# reject unauthenticated pipelining
reject_unauth_pipelining,
# check quota status of dovecot users
check_policy_service inet:127.0.0.1:12340,
# permit anything else
permit
Was mir aber gerade nicht klar ist, wie ich sauber erreiche, dass die
smtpd_recipient_restrictions NACH dem smtpd_proxy_filter gecheckt werden?
Auszug aus der master.cf wie es aktuell aussieht:
smtp inet n - n - - smtpd
-o smtpd_proxy_filter=127.0.0.1:10024
-o content_filter=
-o smtpd_sasl_auth_enable=no
# from amavis to postfix (reinjection)
127.0.0.1:10025 inet n - n - - smtpd
-o content_filter=
-o smtpd_delay_reject=no
-o smtpd_client_restrictions=permit_mynetworks,reject
-o smtpd_helo_restrictions=
-o smtpd_sender_restrictions=
-o smtpd_recipient_restrictions=permit_mynetworks,reject
-o smtpd_data_restrictions=reject_unauth_pipelining
-o smtpd_end_of_data_restrictions=
-o smtpd_restriction_classes=
-o mynetworks=127.0.0.0/8
-o smtpd_error_sleep_time=0
-o smtpd_soft_error_limit=1001
-o smtpd_hard_error_limit=1000
-o smtpd_client_connection_count_limit=0
-o smtpd_client_connection_rate_limit=0
-o
receive_override_options=no_header_body_checks,no_unknown_recipient_checks,no_milters
-o local_header_rewrite_clients=
-o smtpd_milters=
-o local_recipient_maps=
-o relay_recipient_maps=
Laut den Empfehlungen würde ich nun intuitiv folgendes machen:
Den smtp Eintrag um -o smtpd_recipient_restrictions= ergänzen, damit
hier erstmal nichts passiert, außerdem aus 127.0.0.1:12025 den Eintrag
-o smtpd_recipient_restrictions=permit_mynetworks,reject entfernen,
damit meine Checks aus der main.cf gelten. Wäre das das richtige
Vorgehen? Fehlt noch etwas oder ist das der komplett falsche Ansatz?
>
> Peer
Christian
>
>
> - --
> Heinlein Support GmbH
> Schwedter Str. 8/9b, 10119 Berlin
>
> http://www.heinlein-support.de
>
> Tel: 030 / 405051-42
> Fax: 030 / 405051-19
>
> Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht
> Berlin-Charlottenburg,
> Geschäftsführer: Peer Heinlein -- Sitz: Berlin
> -----BEGIN PGP SIGNATURE-----
> Version: GnuPG v2.0.22 (GNU/Linux)
> Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/
>
> iQEcBAEBAgAGBQJTTnIaAAoJEAOLLpq5E82HH3oIALxakPLHMnppCWqGRkGjxrhM
> RErlHr8B4y+2hoc5JsBbZ4IUitEdw4CKh4UAcHtyeO6Bxcs2TaRwdWiwMzeeZf+S
> uVaa0QfBoK/jiJOo94vWzj/eeuhUr2wn6QOozf0Ndyk8ILd7Hlic4Blxx36aPe1W
> M6AumqHvGVVTeVCyhsm3znBtSgGhvtqgrNGjucxY4+rDlLtNRZEa9NFr9J3d2S2a
> fDxs/w2pe7lzi4uSTBa5nLFf0Y496on+72AY+I86JNJ2w/fb1Oia/AvQ8Py5u6gM
> boOeVooyT2LzpuiCev5QoeBMUvKYwdOL7OIXB988/VUdrVeo+uC3ZVwpmkZg1+8=
> =OROZ
> -----END PGP SIGNATURE-----
>
>
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20140416/40a9bf20/attachment.html>
Mehr Informationen über die Mailingliste Postfixbuch-users