
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">

<HTML><HEAD>

<META http-equiv=Content-Type content="text/html; charset=iso-8859-1">

<META content="MSHTML 6.00.2900.3020" name=GENERATOR></HEAD>

<BODY style="FONT: 10pt Courier New" leftMargin=5 topMargin=5>

<DIV style="FONT: 12pt Arial; COLOR: #000000">

<DIV>Hallo zusammen</DIV>

<DIV> </DIV>

<DIV>Habe eine Frage zu reject_unverified_sender  und Greylisting. Und zwar 

habe ich genau diesen Loop . Meistens bei MS Exchange Servern.</DIV>

<DIV>Wie kann ich nun reject_unverified_sender so konfigurieren, dass es nur 

verdächtige Clients überprüft.</DIV>

<DIV> </DIV>

<DIV><EM>Deshalb, selbst wenn alles sauber konfiguriert wird, kann dies zu 

Verzögerungen bei Mails von etlichen Stunden führen. Sei deshalb besser sehr 

selektiv und Überprüfe nicht JEDEN Client, sondern nur Clients, die an sich 

schon etwas verdächtig sind, z.B. Unknown Clients ohne rDNS.</EM></DIV>

<DIV> </DIV>

<DIV>Danke Michel</DIV></DIV>

<DIV style="FONT: 12pt Arial; COLOR: #000000"> </DIV>

<DIV style="FONT: 12pt Arial; COLOR: #000000"> </DIV>

<BLOCKQUOTE 

style="PADDING-RIGHT: 0px; PADDING-LEFT: 5px; MARGIN-LEFT: 5px; BORDER-LEFT: #000000 2px solid; MARGIN-RIGHT: 0px">

  <TABLE id=tobit_repfor 

  style="BORDER-RIGHT: #e0e0e0 1px solid; BORDER-TOP: #e0e0e0 1px solid; FONT: 10pt Arial; BORDER-LEFT: #e0e0e0 1px solid; COLOR: black; BORDER-BOTTOM: 0px" 

  cellSpacing=0 cols=3 cellPadding=0 width="99%" border=0>

    <TBODY>

    <TR borderColor=#dfdfdf borderColorLight=#dfdfdf bgColor=#dfdfdf>

      <TD 

      style="PADDING-LEFT: 4px; PADDING-BOTTOM: 1px; PADDING-TOP: 1px; BORDER-BOTTOM: #ffffff 1px solid" 

      width=140 colSpan=2 height=22>

        <DIV style="FONT: bold 9pt Arial">Original 

        Message     </DIV></TD>

      <TD style="BORDER-BOTTOM: #ffffff 1px solid" align=right>

        <DIV style="FONT: 8pt Arial">

        <DIV style="FONT: 8pt Arial"><STRONG><FONT 

        color=#808080>   processed by David 

        InfoCenter</FONT></STRONG> </DIV></DIV></TD></TR></TBODY></TABLE>

  <TABLE id=tobit_repfor2 

  style="BORDER-RIGHT: #e0e0e0 1px solid; BORDER-TOP: 0px; FONT: 8pt Tahoma; BORDER-LEFT: #e0e0e0 1px solid; COLOR: black; BORDER-BOTTOM: #e0e0e0 1px solid" 

  cellSpacing=0 cols=2 cellPadding=0 width="99%" border=0>

    <TBODY>

    <TR style="PADDING-BOTTOM: 2px">

      <TD style="PADDING-LEFT: 6px; BORDER-BOTTOM: #ffffff 1px solid" width=68 

      bgColor=#efefef height=18>

        <DIV style="FONT: 8pt Tahoma">Subject: </DIV></TD>

      <TD style="PADDING-LEFT: 4px; BORDER-BOTTOM: #efefef 1px solid" 

      bgColor=#ffffff>

        <DIV style="FONT: 8pt Tahoma">Re: [Postfixbuch-users] 

        reject_unverified_sender (03-Dez-2006 14:21)</DIV></TD></TR>

    <TR style="PADDING-BOTTOM: 2px">

      <TD style="PADDING-LEFT: 6px; BORDER-BOTTOM: #ffffff 1px solid" width=68 

      bgColor=#efefef height=18>

        <DIV style="FONT: 8pt Tahoma">From:    </DIV></TD>

      <TD style="PADDING-LEFT: 4px; BORDER-BOTTOM: #efefef 1px solid" 

      bgColor=#ffffff>

        <DIV style="FONT: 8pt Tahoma"><A 

        href="mailto:postfixbuch-users@japantest.homelinux.com">Sandy Drobic 

        <postfixbuch-users@japantest.homelinux.com></A></DIV></TD></TR>

    <TR style="PADDING-BOTTOM: 0px">

      <TD style="PADDING-LEFT: 6px" width=68 bgColor=#efefef height=17>

        <DIV 

        style="FONT: 8pt Tahoma">To:      </DIV></TD>

      <TD style="PADDING-LEFT: 4px" bgColor=#ffffff>

        <DIV style="FONT: 8pt Tahoma"><A 

        href="mailto:edv@erf.ch">edv@erf.ch</A></DIV></TD></TR></TBODY></TABLE>

  <DIV> </DIV>Andreas Meyer wrote:<BR>> Ralf Hildebrandt 

  <RALF.HILDEBRANDT@CHARITE.DE>schrieb:<BR>> >> * Andreas Winkelmann 

  <ML@AWINKELMANN.DE>:<BR>>><BR>>>>> Und deswegen darf dann 

  auch nicht abgewiesen werden.<BR>>>> Ja, aber das hat er doch auch 

  nicht.<BR>>> Andreas Meyer behauptete was anderes. Aber er hat sich ja 

  geirrt.<BR>>><BR>> > > Gibt es allgemeine Erfahrungswerte über 

  Sender address verification?<BR>> > Wietse schreibt:<BR>> 

  Unfortunately, sender address verification cannot simply be turned<BR>> on 

  for all email - you are likely to lose legitimate mail from<BR>> 

  mis-configured systems. You almost certainly will have to set up<BR>> white 

  lists for specific addresses, or even for entire domains.<BR>> > Ich 

  könnte mir vorstellen, daß es mühsam wäre, alle Systeme<BR>> 

  herauszufinden, die fehlkonfiguriert sind.<BR>> Ist es besser, Sender 

  address verification nur für frequently forged<BR>> domains einzusetzen? 

  Meinungen?<BR><BR>Leider sind es nicht unbedingt fehlkonfigurierte Systeme, 

  sondern häufig Maßnahmen, die einen regelrechten Krieg gegeneinander führen. 

  :-((<BR><BR>Versuche einfach mal reject_unverified_sender gegen ein System 

  einzusetzen, das mit Greylisting arbeitet. Wenn du dann noch, wie häufig 

  empfohlen, die Ergebnisse, insbesondere die negativen, in einer lokalen 

  Datenbank ablegst, ist die Misere komplett.<BR><BR>Hier mal der Ausschnitt aus 

  den Defaults:<BR><BR>address_verify_map =<BR>address_verify_negative_cache = 

  yes<BR>address_verify_negative_expire_time = 

  3d<BR>address_verify_negative_refresh_time = 3h<BR>address_verify_poll_count = 

  3<BR>address_verify_poll_delay = 3s<BR><BR>Wenn du nicht cached, dann ist es 

  nicht ganz so wild, aber du hast erheblich höhere Last für normale 

  Überprüfungen und riskierst den Ärger von aufmerksamen Admins anderer Systeme, 

  die dein verify in Anspruch nimmt. Deshalb wird empfohlen "address_verify_map 

  = btree:/etc/postfix/address_verify" (Beispiel) zu verwenden, um die Zahl der 

  Probemails gering zu halten.<BR><BR>Das passiert, wenn ein Client mit 

  Greylisting eine Mail bei dir einliefern will, und du reject_unverified_sender 

  verwendest:<BR><BR>- Client verbindet sich zu dir, will Mail einliefern<BR>- 

  Du verbindest dich mit Client, willst Absenderadresse prüfen<BR>- Client lehnt 

  deine Probe mit Greylisting 4xx ab.<BR>- Du lehnst Client wegen negativer 

  Probe ab mit 4xx ab und cachest das Resultat.<BR><BR>- Die nächsten drei 

  Stunden versucht Client, die Mail einzuliefern und erhält 4xx aus dem Cache 

  als Resultat<BR>- Nach diesen drei Stunden wird beim nächsten Versuch des 

  Clients wieder eine Probe zum Client geschickt: Greylisting ist hoffentlich 

  nicht so eng eingestellt, dass WIEDER Greylisting beginnt und hoffentlich 

  deine Probemail mit 250 auf das RCPT TO akzeptiert wird.<BR>- Du speicherst 

  jetzt positives Ergebnis in die Verify-Datenbank und der Client kann endlich 

  Mails bei dir einliefern.<BR>- Das Ergebnis wird in der Verify-Datenbank für 

  31 Tage beibehalten, aber nach 7 Tagen wird für ein Refresh eine Probemail 

  geschickt. Wenn der Client ebenfalls eine Datenbank mit erfolgreichen Triplets 

  (Absender, Empfänger, Host) speichert, dann beginnt hoffentlich das Spiel 

  nicht erneut. Sonst fängt das Spiel wieder an mit<BR><BR>- Client verbindet 

  sich zu dir, will Mail einliefern...<BR><BR>Deshalb, selbst wenn alles sauber 

  konfiguriert wird, kann dies zu Verzögerungen bei Mails von etlichen Stunden 

  führen. Sei deshalb besser sehr selektiv und Überprüfe nicht JEDEN Client, 

  sondern nur Clients, die an sich schon etwas verdächtig sind, z.B. Unknown 

  Clients ohne rDNS.<BR><BR>Sandy<BR><BR>-- Antworten bitte nur in die 

  Mailingliste!<BR>PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) 

  com<BR><BR>-- 

  _______________________________________________<BR>Postfixbuch-users 

  mailingliste<BR>Heinlein Professional Linux Support 

  GmbH<BR><BR>Postfixbuch-users@listi.jpberlin.de<BR>http://listi.jpberlin.de/mailman/listinfo/postfixbuch-users<BR><BR>To: 

  postfixbuch-users@listi.jpberlin.de<BR></BLOCKQUOTE></BODY></HTML>