[Postfixbuch-users] permit regel einfügen?

Sandy Drobic postfixbuch-users at japantest.homelinux.com
Mo Apr 3 10:55:12 CEST 2006 

Marcel Hartmann wrote:
> Guten Morgen,
> 
> 
>>benutz doch restriction_classes.
>>Die sind auf Ralfs Seite (http://www.arschkrebs.de/) sehr gut erklärt.
> 
> 
> Also wenn ich das dem Buch von Ralf richtig entnommen habe würde der Ablauf
> so aussehen:
> 
> 1. Ich erstelle eine restriction_class namens permit_envelope_recipient:
> 
> smtps_restriction_classes = 
>           permit_envelope_recipient_nodnsrbls,
> 	    permit_envelope_recipient_nogreylisting

Typo: smtpd_...

> 
> 2. permit_envelope_recipient_nodnsrbls =
>           check_recipient_access
> hash:/etc/postfix/maps/nogreylisting_recipients
> 
>    permit_envelope_recipients_nogreylisting =
>           check_recipient_access hash:/etc/postfix/maps/nodnsrbl_recipients
> 
> 3. In die Beiden maps kommen dann die Mailadressen bzw. Domains, welche die
> einzelnen Checks NICHT durchlaufen sollen, etwa so:
> 
> domain.com		PERMIT
> 
> oder
> 
> user at domain.com	PERMIT

Sobald ein PERMIT|OK als Antwort kommt, wird die Prüfung in der 
entsprechenden smtpd_...restriction abgebrochen und die Mail angenommen.


> 
> 4. Nun soll die Klasse auch im smtpd_recipient_resrictions greifen, und
> damit sie eineeingelieferte Mail durchlässt, würde ich diese so einbinden:
> 
> smtpd_recipient_restrictions =
>         reject_unknown_sender_domain,
>         reject_non_fqdn_sender,
>         permit_mynetworks,
>         permit_sasl_authenticated,
>         reject_unauth_destination,
> 	  # dns rpb whitelist evelope recipients
>         permit_envelope_recipient_nodnsrbls,
>         reject_rbl_client sbl-xbl.spamhaus.org,
>         reject_rbl_client list.dsbl.org,
>         reject_rbl_client relays.ordb.org,
> 	  # postgrey whitelist evelope recipients
>         permit_envelope_recipients_nogreylisting,
>         check_policy_service inet:127.0.0.1:10023,
>         permit

Wenn du also alles unter smtpd_recipient_restriction gestellt hast, dann 
wird das erste OK alle Checks darunter NICHT mehr auswerten.

> 
> So sollte er ja beim Einliefern einer mail an in den maps angegebene
> Empfängeradressen und Domains ein PERMIT geben, was den Ablauf der weiteren
> checks abbrechen sollte. Diese sind
> ja als map in die einzelnen classes eingebunden.

Stimmt.

> Irgendwie habe ich allerdings das Gefühl, dass eine class nicht notwendig
> ist, da ich ja
> den Parameter check_recipient_access mit einer map direkt in
> smtpd_recipient_restrictions 
> nutzen kann. Ich möchte an dem produktiv system auch nichts kaputt fummeln. 
> 
> Mir ist auch aufgefallen, dass ein Konto/Domain welche sich in
> permit_envelope_recipient_nodnsrbls befindet automatisch auch kein
> greylisting durchlaufen würde, sehe ich das so richtig?

Stimmt. Die korrekte Antwort wäre wohl, nicht ein "OK" für Ausnahmen zu 
machen, sondern als Antwort für alle die gewünschten Checks durchzuführen, 
wenn es nicht explizit anders dort steht.

check_recipient_access hash:/etc/postfix/recipient_access

hash:/etc/postfix/recipient_access
not_checked at example.com		DUNNO
to_be_checked at example.com	reject_rbl_client sbl-xbl.spamhaus.org,
				reject_rbl_client list.dsbl.org,
				reject_rbl_client relays.ordb.org,


Auf diese Art wird die nächste Prüfung angesteuert und kannst RBL/sonstige 
Checks getrennt mit Whitelist blocken.

Solche Konfigurationen machen aber nur Sinn, wenn du dies 
datenbankgesteuert machst, denn die Pflege solcher Restriktionen ist doch 
aufwendig. Besser ist es, wenn die Anwender dies webgesteuert anklicken 
können und dies von einer Datenbank ausgewertet wird.

Sandy

Mehr Informationen über die Mailingliste Postfixbuch-users