Whitelisting per smtp_*_restrictions

Achim Lammerts mlpbu at admin.syntaxys.net
Fr Dez 6 08:27:16 CET 2019


Bei mir steht genau das gleiche in der Variable und ich habe den Fehler 
dadurch gefunden:
Es war der Punkt vor dem zu prüfenden Hostnamen, dadurch lieferte die 
Anfrage kein Ergebnis zurück. Mit "t-online.de OK" statt ".t-online.de 
OK" in der access table werden trotzdem auch die Hostnamen der Relays 
von T-Online erfasst und die E-Mails um den postgreyd und policyd-weight 
herum geleitet.

Da hatte ich die http://www.postfix.org/access.5.html ein bissl flüchtig 
gelesen:

HOST NAME/ADDRESS PATTERNS
        With  lookups  from  indexed files such as DB or DBM, or from
        networked
        tables such as NIS, LDAP or SQL,  the  following  lookup
        patterns  are examined in the order as listed:

        domain.tld
               Matches domain.tld.

               The  pattern  domain.tld  also matches subdomains, but
               only when the string smtpd_access_maps  is  listed  in
               the  Postfix  parent_domain_matches_subdomains
               configuration setting.

        .domain.tld
               Matches  subdomains  of  domain.tld,  but  only  when the
               string smtpd_access_maps is not listed in the Postfix
               parent_domain_matches_subdomains configuration setting.

Danke!


Am 05.12.19 um 09:24 schrieb list+postfixbuch at gcore.biz:
> 
>> ich versuche gerade, die Flut an Spam etwas einzudämmen, aber die restriktiveren Einstellungen blockieren auch erwünschte E-Mails. Bisher bin ich mit Greylisting gut gefahren, aber das reicht inzwischen nicht mehr. Für bestimmte Clients und Sender möchte ich die schärferen Einstellungen umgehen, aber irgendwie klappt das mit dem Whitelisting nicht so, wie ich mir das vorgestellt habe:
>>
>> smtpd_recipient_restrictions >     permit_mynetworks,
>>      permit_sasl_authenticated,
>>      reject_non_fqdn_recipient,
>>      reject_unauth_destination,
>>      reject_unlisted_recipient,
>>      check_client_access mysql:/etc/postfix/conf/wl_clients.cf,
>>      check_client_access mysql:/etc/postfix/conf/bl_clients.cf,
>>      check_client_access cidr:/etc/postfix/conf/postfix_client_access.cidr,
>>      check_sender_access mysql:/etc/postfix/conf/wl_sender_common.cf,
>>      check_sender_access mysql:/etc/postfix/conf/whitelist_users.cf,
>>      check_sender_access mysql:/etc/postfix/conf/bl_sender_common.cf,
>>      check_sender_access pcre:/etc/postfix/conf/bl_sender_common.pcre,
>>      check_policy_service inet:192.168.164.1:10023,
>>      check_policy_service unix:private/policyd-spf,
>>      check_policy_service inet:192.168.164.1:12525
>>
>> In der Tabelle zu mysql:/etc/postfix/conf/wl_clients.cf habe ich z. B. den Eintrag ".t-online.de OK" und bin davon ausgegangen, daß die weitere Prüfung für <client=ilout12.t-online.de[194.25.134.22]> damit beendet ist. Trotzdem geht die E-Mail noch an den policyd-weight, der sie dann blockiert hat. Wie kann ich es einrichten, daß per default die Mails mit policyd-weight geprüft werden und die weißgelisteten nicht? Seltsamerweise funktionieren REJECTS in den Blacklists ohne Probleme, nutze ich das falsche Schlüsselwort?
> 
> 
> 
> parent_domain_matches_subdomains (default: see postconf -d output)
>         A list of Postfix features where the pattern "example.com" also matches subdomains of example.com, instead of requiring an explicit ".example.com" pattern.  This is planned backwards compatibility:  eventually, all Postfix features are expected to require explicit ".example.com" style patterns when you really want to match subdomains.
> 
> ...
> 
>         Postfix version 1.1 and later
>                qmqpd_authorized_clients, smtpd_access_maps,
> 
> 
> 
> EMAIL ADDRESS PATTERNS
>   .domain.tld
>                Matches subdomains of domain.tld, but only when the string smtpd_access_maps is not listed in the Postfix parent_domain_matches_subdomains configuration setting.
>                
>   
> [root at r1 ~]# postconf -d | grep parent_domain_matches_subdomains
> parent_domain_matches_subdomains =ebug_peer_list,fast_flush_domains,mynetworks,permit_mx_backup_networks,qmqpd_authorized_clients,relay_domains,smtpd_access_maps
> 
> Wie sieht das bei Dir aus?
> 
> Viele Grüße
> Gerald
> 
> 
> -------------- nächster Teil --------------
> Ein Dateianhang mit HTML-Daten wurde abgetrennt...
> URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20191205/b19cb4b6/attachment-0001.html>
> 
> 



Mehr Informationen über die Mailingliste Postfixbuch-users