[Postfixbuch-users] policyd-weight restrictions Frage

Robert Felber r.felber at ek-muc.de
Do Nov 30 22:44:44 CET 2006 

On Thu, Nov 30, 2006 at 09:29:16PM +0100, Stefan Bielenberg wrote:
> 1. Ist es sinnvoll den policyd-weight mit den Standard-Einstellungen
> laufen zu lassen?

Ja:    Grund: beta stadium (wird auch noch ne laaange Weile so bleiben :-( )
              Es ist immer gut Fehler in den Defaults zu erfahren.

Nein:  Grund: beta stadium. REJECTLEVEL kann zB angepasst werden falls man doch
              sehr vorsichtig sein will.


> Wenn nicht, an welchen Schrauben ist es sinnvoll
> eventuell noch ein bisschen zu drehen?

REJECTLEVEL bzw den scores die zu einem "richtigen" FP fuehren.
Falsche FP sind zb. hosts die sich komplett garnicht um sinnige DNS records
kuemmern.

> 2. Ich habe vorher nur die Postfix UCE-Checks und Amavisd zur Bekämpfung
> von SPAM benutzt. Kann ich jetzt, wo policyd-weight läuft alle
> Postfix-UCE-Checks aus den "smtpd_recipient_restrictions" entfernen (die
> Arbeit nach doch jetzt policyd-weight, oder?), bzw. welche sind sinnvoll
> um sie zu behalten? Hier die die aktuellen Restrictions:
> 
> smtpd_recipient_restrictions =
>     permit_mynetworks                                         <ok
>     permit_tls_clientcerts                                    <ok
>     permit_sasl_authenticated                                 <ok
>     reject_unauth_destination                                 <ok
>     reject_unlisted_recipient                                 <ok
>     reject_non_fqdn_recipient                                 <out
>     reject_unknown_recipient_domain                           <ok
>     check_sender_access hash:/etc/postfix/sender_access_list  <ok
>     reject_non_fqdn_sender                                    <ok
>     reject_unknown_sender_domain                              <ok
>     reject_unlisted_sender                                    <ok
>     check_helo_access hash:/etc/postfix/helo_access_list      <1
>     reject_non_fqdn_hostname                                  <out
>     reject_invalid_hostname                                   <ok
> #   reject_unknown_hostname                                   <out
>     reject_multi_recipient_bounce                             <2
>     reject_unauth_pipelining                                  <3
>     check_policy_service inet:127.0.0.1:12525


1:  Kommt drauf an was drinnen steht.
    Wenn da nur REJECT rules drinnen sind, ist's ok.
    'OK' rules sollten da nicht rein.

2:  gehoert nach smtpd_data_restrictions
    http://www.postfix.org/postconf.5.html#reject_multi_recipient_bounce

3:  Man sagt zwar, dass es eher nach smtpd_data_restrictions gehoert,
    allerdings habe ich es momentan auch in den recipient restrictions
    und bisher kein Fehlverhalten festgestellt. Lass es nur dann da, wenn du
    weist was du fuer Aerger hervorrufen willst.
    Es gibt bestimmt clients die PIPELINING ernst nehmen.
    Laut RFC *sollten* clients die PIPELINING anbieten, dies auch umsetzen.



-- 
    Robert Felber (PGP: 896CF30B)
    Munich, Germany

Mehr Informationen über die Mailingliste Postfixbuch-users