[Postfixbuch-users] Richtige postscreen-Konfiguration
M. Koehler
postfixbuch-users at makomi.de
Sa Jan 24 15:38:40 CET 2015
Hallo,
da ich leider bisher noch keine Antwort bekommen habe und natürlich nebenbei auch weiter getestet habe, kann ich meine Mail zum Teil selbst beantworten oder zumindest konkretisieren.
> ich versuche gerade postscreen bei mir einzubinden, aber ehrlich gesagt bin ich mir nicht sicher, ob die folgende Konfiguration
> a. überhaupt was bringt, oder
> b. mehr Schaden als Vorteile bringt.
Es bringt schon Vorteile, weil die einfachen Tests ohne eine Blacklist schon einiges rausfiltern. Mir ist aber noch nicht klar, welche Restriktionen aus
smtpd_recipient_restrictions =
permit_mynetworks
permit_sasl_authenticated
reject_non_fqdn_sender
reject_non_fqdn_recipient
reject_unknown_sender_domain
reject_unauth_destination
check_recipient_access hash:/etc/postfix/roleaccount_exceptions
reject_invalid_helo_hostname
reject_non_fqdn_helo_hostname
check_helo_access pcre:/etc/postfix/helo_checks
check_sender_mx_access cidr:/etc/postfix/bogus_mx
check_sender_access pcre:/etc/postfix/umlaute
reject_unlisted_recipient
check_client_access hash:/etc/postfix/client_whitelist
reject_rbl_client ix.dnsbl.manitu.net
check_policy_service inet:127.0.0.1:60000
permit
dafür wegkönnen?!
> Hier die bisher konfigurierte main.cf
> ---
> postscreen_access_list = permit_mynetworks
> postscreen_pipelining_enable = yes
> postscreen_pipelining_action = drop
> postscreen_non_smtp_command_enable = yes
> postscreen_bare_newline_enable = yes
> postscreen_bare_newline_action = drop
> postscreen_greet_action = drop
> postscreen_dnsbl_action = drop
> postscreen_dnsbl_threshold = 3
> postscreen_dnsbl_sites =
> ix.dnsbl.manitu.net,
> dsn.rfc-ignorant.org
> —
Ok, bei mir kommen die drei deep protocol tests raus, weil diese durch das Nach-den-Tests-musst-Du-neu-Einliefern den Mailverkehr zu sehr verlangsamen (insbesondere im Zusammenspiel mit postgrey).
> und hier die master.cf
> ---
> #smtp inet n - - - - smtpd
> smtp inet n - - - 1 postscreen
> smtpd pass - - - - - smtpd
> dnsblog unix - - - - 0 dnsblog
> tlsproxy unix - - - - 0 tlsproxy
> ---
>
> Dazu muss ich sagen, dass die auth. Clients per Submission reinkommen, sich also nicht behaken dürften (oder muss ich dafür explizit in der master.cf unter Submission alle postscreen-checks ausschalten?).
> Und ist es überhaupt sinnvoll die postscreen_mumble Parameter in die main.cf zu setzen oder sollte man das lieber gleich in die master.cf unter smtpd als Optionen setzen?
Ja, die Einstellungen müssen in die main.cf und behaken sich auch nicht mit Submission-Einlieferungen, da die postscreen-Einbindungen über den SMTPD, also Port 25 wirken.
> Und was die "deep protocol tests" angeht: Wie löst ihr die Einschränkungen von http://www.postfix.org/POSTSCREEN_README.html#after_220 - speziell die Einschränkung: "Allow "good" clients to skip tests with the postscreen_dnsbl_whitelist_threshold feature (Postfix 2.11 and later). This is especially effective for sites such as Google that never retry immediately from the same IP address. " - gibt es dafür eine vorgefertigte Whitelist oder wie muss man die händig pflegen?
> Und überhaupt DNSBL: Woher weiß ich welche Blacklist empfehlenswert ist und welche nicht? Gibt es eine Aufstellung?
Diese Fragen bleiben weiter bestehen. Besonders die Frage nach den Blacklists bleibt interessant. Ich weiß das da jeder selbst schauen muss, welche BL in das Setup passt. Aber einmal weiß ich prinzipiell nicht, woher ich wissen soll, welche BLs es gibt und welche wie restriktiv ist? Ich hatte z.B. mal testweise black.uribl.com drin, welche aber z.B. auch GMX und Co. gesperrt hatte - das ist eher kontraproduktiv für mich.
Viele Grüße,
Michael
Mehr Informationen über die Mailingliste Postfixbuch-users