[Postfixbuch-users] unknown smtpd restriction: "?"

Gregor Hermens gregor at a-mazing.de
Sa Jul 2 13:14:15 CEST 2005 

Hallo Ralf,

Am Samstag, 2. Juli 2005 12:14 schrieb Ralf Hildebrandt:
> * Gregor Hermens <gregor at a-mazing.de>:
> > > Da hast du ggf. in irgendeiner Map die du für access nutzt ein
> > > komisches Zeichen drin. Ein Klassiker wäre mysql oder ldap.
>
> > local_recipient_maps = mysql:/etc/postfix/virtual.mysql
> Die z.B.

unwahrscheinlich: alle betroffenen Empfänger erhalten recht viel Mail.
Hab grade auch nochmal überprüft: Es sind mindestens 3 Empfänger aus 2 
verschiedenen Domains betroffen. 

> > mydestination = $transport_maps
> Das ist eine ganz schlecht Idee.

Warum? $transport_maps enthält nur:
transport_maps = mysql:/etc/postfix/transport.mysql
In dieser Tabelle stehen ausschließlich die lokalen Domains.
Erst, wenn ich irgendwann mal für eine nicht lokale Domain einen separaten 
Transport einrichten muss, kann es imho Probleme geben, oder?

> > relay_domains = $mydestination
> Ist überflüssig.

Stimmt.

> > smtpd_end_of_data_restrictions = reject_unauth_pipelining
> :)

Man muss doch die neuen Möglichkeiten von 2.2 ausnutzen... ;-)

> > smtpd_recipient_limit = 1000
> Überflüssig, ist default (glaub ich)

Stimmt. Hatte ich mal geändert und dann zurückgesetzt und dringelassen, damit 
es offensichtlich ist. Schadet zumindest nicht...

> > smtpd_recipient_restrictions =
...
> >     check_sender_access hash:/etc/postfix/access
>
> Jedes OK hierdrin macht dich zum Offenen Relay.

Diese Map enhält ausschließlich REJECTs, z.B.:
# Bekannte Viren:
admin at duma.ru.gov       REJECT
sexyfun at hahaha.net      REJECT
security at microsoft.com  REJECT
OK2006 at fifa.de          REJECT
WM-Ticket at fifa.de       REJECT
Administrator at fifa.de   REJECT
WM-Ticket at ok2006.de     REJECT
Administrator at ok2006.de REJECT

> Meines Erachtens wäre es das Beste, anhand des Logeintrages
> nachzuvollziehen (stehen ja HELO, client, from, to usw. drin), welche
> der smtpd_restriction_classes gefeuert hat.

Die Restriction_classes enthalten außer reject_rbl_client und 
check_policy_service nur noch eine einzige Map:

check_client_access hash:/etc/postfix/client_access

Ich habe jetzt mal den kompletten Weg der Mail mittels postmap -q 
nachvollzogen:

check_sender_mx_access cidr:/etc/postfix/bogon_networks.cidr
hätte die Mail abgelehnt, da als MX 192.168.1.1 eingetragen ist.

Frühere Mails kamen z.B. von ants at yebox.com. yebox.com hat zwar einen 
whois-Eintrag, aber selbst die authorativen Nameserver schmeißen keinen A 
oder MX raus.
Was für ein Key wird in dem Fall abgefragt?
Und müsste hier nicht eigentlich schon reject_unknown_sender_domain greifen?

Den Eintrag habe ich auch erst drin, seit er hier auf der Liste diskutiert 
wurde, also erst seit ein paar Wochen. Würde zeitlich passen...

Spätestens bei 
check_helo_access hash:/etc/postfix/helo_access
wäre die Mail aber regulär abgelehnt worden.

Auch die dahinter liegenden Restrictions zeigen keine Auffälligkeiten.

Gruß,
Gregor
-- 
    @mazing.de         fon +49 8142 6528665
  Gregor Hermens       fax +49 8142 6528669
Brucker Strasse 12  gregor.hermens at a-mazing.de
D-82216 Gernlinden    http://www.a-mazing.de/

Mehr Informationen über die Mailingliste Postfixbuch-users