<html>
  <head>
    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
  </head>
  <body>
    <div class="moz-text-html" lang="x-unicode">
      <p>Am 02.11.2020 um 14:00 schrieb Ralf Hildebrandt:<br>
      </p>
      <blockquote type="cite"
        cite="mid:20201102130057.ermzqrtzg7vixu23@charite.de">
        <pre class="moz-quote-pre" wrap="">* Patrick Ben Koetter <a class="moz-txt-link-rfc2396E" href="mailto:p@sys4.de"><p@sys4.de></a>:
</pre>
        <blockquote type="cite">
          <pre class="moz-quote-pre" wrap="">Dann kommen die Session-Filter und Du kannst mit smtpd_client_restrictions am
ehesten blocken. Innerhalb der Gruppe kommen dann die weiteren
smtpd_$PHASE_restrictions, wobei $PHASE je einem weiteren Schritte in der
SMTP-Kommunikation zwischen Client und Server entspricht.
</pre>
        </blockquote>
        <pre class="moz-quote-pre" wrap="">Aber Vorsicht: Wegen 

smtpd_delay_reject = yes (default) 

werden alle Rejects in der RCPT TO: Phase gemacht.

</pre>
        <blockquote type="cite">
          <pre class="moz-quote-pre" wrap="">Es hängt von Deinen Zielen ab. Je früher Du blockst, desto weniger Last für
den Server und Service. Je später, desto mehr zusätzliches Wissen können
Server und Services sammeln und so möglicherweise eine bessere Entscheidung
treffen.
</pre>
        </blockquote>
        <pre class="moz-quote-pre" wrap="">Stimmt. Die Option "smtpd_delay_reject" ist damals entstanden, weil
bei uns ein irrer Server kein frühes "nein" als Antwort akzeptieren
wollte...

</pre>
      </blockquote>
      Vielen Dank für die Hinweise und lehrreiche Diskussion an Euch.<br>
      Wie gesagt, aktuell blocke ich per iptables . Über meine eigene
      DNS RBL kann ich in der gebouncten Email<br>
      einen Hinweis mitgeben, falls es sich um ein falsch positiv
      handelt (ist bis jetzt seit einem Jahr noch nicht vorgekommen)<br>
      Das würde ich gern nutzen wollen.<br>
      <p>In den iptables würde ich dann ein limit mit angeben (</p>
      <pre class="prettyprint"><code>connlimit --connlimit-above 10</code></pre>
      <p>), ab wann auf IP Ebene geblockt wird (für irre Server ;-))</p>
      Auf Grund von Ralf's Hinweis ( smtpd_delay_reject = yes (default)
      ) und der Annahme, dass es sich nicht um mehr als 10<br>
      <p>Verbindungen von der gleichen IP handelt, könnte ich die
        Prüfung wohl auch in den smtpd_recipient_restrictions belassen?</p>
      <p>Viele Grüße,<br>
        Frank<br>
      </p>
    </div>
  </body>
</html>