<html>

  <head>

    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">

  </head>

  <body>

    <div class="moz-text-html" lang="x-unicode">

      <p>Am 02.11.2020 um 14:00 schrieb Ralf Hildebrandt:<br>

      </p>

      <blockquote type="cite"

        cite="mid:20201102130057.ermzqrtzg7vixu23@charite.de">

        <pre class="moz-quote-pre" wrap="">* Patrick Ben Koetter <a class="moz-txt-link-rfc2396E" href="mailto:p@sys4.de"><p@sys4.de></a>:

</pre>

        <blockquote type="cite">

          <pre class="moz-quote-pre" wrap="">Dann kommen die Session-Filter und Du kannst mit smtpd_client_restrictions am

ehesten blocken. Innerhalb der Gruppe kommen dann die weiteren

smtpd_$PHASE_restrictions, wobei $PHASE je einem weiteren Schritte in der

SMTP-Kommunikation zwischen Client und Server entspricht.

</pre>

        </blockquote>

        <pre class="moz-quote-pre" wrap="">Aber Vorsicht: Wegen 

smtpd_delay_reject = yes (default) 

werden alle Rejects in der RCPT TO: Phase gemacht.

</pre>

        <blockquote type="cite">

          <pre class="moz-quote-pre" wrap="">Es hängt von Deinen Zielen ab. Je früher Du blockst, desto weniger Last für

den Server und Service. Je später, desto mehr zusätzliches Wissen können

Server und Services sammeln und so möglicherweise eine bessere Entscheidung

treffen.

</pre>

        </blockquote>

        <pre class="moz-quote-pre" wrap="">Stimmt. Die Option "smtpd_delay_reject" ist damals entstanden, weil

bei uns ein irrer Server kein frühes "nein" als Antwort akzeptieren

wollte...

</pre>

      </blockquote>

      Vielen Dank für die Hinweise und lehrreiche Diskussion an Euch.<br>

      Wie gesagt, aktuell blocke ich per iptables . Über meine eigene

      DNS RBL kann ich in der gebouncten Email<br>

      einen Hinweis mitgeben, falls es sich um ein falsch positiv

      handelt (ist bis jetzt seit einem Jahr noch nicht vorgekommen)<br>

      Das würde ich gern nutzen wollen.<br>

      <p>In den iptables würde ich dann ein limit mit angeben (</p>

      <pre class="prettyprint"><code>connlimit --connlimit-above 10</code></pre>

      <p>), ab wann auf IP Ebene geblockt wird (für irre Server ;-))</p>

      Auf Grund von Ralf's Hinweis ( smtpd_delay_reject = yes (default)

      ) und der Annahme, dass es sich nicht um mehr als 10<br>

      <p>Verbindungen von der gleichen IP handelt, könnte ich die

        Prüfung wohl auch in den smtpd_recipient_restrictions belassen?</p>

      <p>Viele Grüße,<br>

        Frank<br>

      </p>

    </div>

  </body>

</html>