AW: Spams von gehosteten Systemen?

Harald Witt harald.witt at dpfa.de
Mo Aug 14 21:43:50 CEST 2017


Hallo Tom-Ole,

das Ganze ist schon etwas verwirrend, wenn man da so rumgoogelt. 
Ich glaube Peer hat mich irgendwann mal auf die richtige Fährte gebracht -
Danke Peer!

Ein PolicyD (ein policy deamon) nutzt die seit Version 2.1 in Postfix
vorhandene Schnittstelle, um externe "Programme" Entscheidungen auf Grund
von Regeln (policies) treffen zu lassen, was mit einer E-Mail passieren
soll. Der Vater von Postfix (Wietse Venema) hat diese Schnittstelle
implementiert, um die komplexen und vor allem über die Zeit sehr dynamischen
Sachen aus dem SMTP-Core rauszuhalten. 

Die Zauberei findet in der main.cf von postfix statt:
smtpd_recipient_restrictions =  check_policy_service inet:127.0.0.1:10031,
...

Das auf Port 10031 ist Cluebringer. Auf Port 10023 läuft postgray. Und da
gibt es ja auch noch policyd-weight um das Filtern von Spam zu wichten :-)

Verwirrt? Nein,  denn Cluebringer bringt einiges davon zusammen (Access
Control, EHLO Checks, SPF Checks, Greylisting,  Quotas, ..). Deshelab der
Name PolicyD V2 (Cluebringer). Aber Cluebringer ist eben "nur" einer von
einigen policyd's!

Knie dich da mal richtig rein. Ich bin sicher, dass das dein Problem löst
:-)
Harald


-----Ursprüngliche Nachricht-----
Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de]
Im Auftrag von Tim-Ole
Gesendet: Montag, 14. August 2017 20:32
An: Diskussionen und Support rund um Postfix
Betreff: Re: Spams von gehosteten Systemen?

Hallo, Harald,

> hatte exakt das gleiche Problem. 
> PolicyD V2 (Cluebringer) war die Super-Lösung.
> 
> Mir hat das in
> den letzten 2 Jahren mindestens 15 Mal den A.. gerettet, auf 
> Blacklistst zu landen.

vielen Dank für die umgehende Rückmeldung - ich glaube, so etwas suche ich
;) Ich bin auf Cluebringer auch schon beim Googeln gestossen, wusste das nur
nicht so recht einzuordnen. Policyd nutzen wir natürlich. Ist das dann die
aktuellere Variante des Policyd, die nebenbei noch den Cluebringer enthält?

Was mir immer wieder Rätselraten bereitet, sind die Mails, die scheinbar aus
dem „Nichts“ auftauchen - in den Logs kommt die initiale Verbindung dann von
127.0.0.1 zustande :\

Vermutlich läuft in solchen Fällen das Spammerscript bereits direkt auf dem
Server als prozess, befürchte ich :\


Schöne Grüße

Tim-Ole=




Mehr Informationen über die Mailingliste Postfixbuch-users