[Postfixbuch-users] smtpd_recipient_restrictions

[Holm Kapschitzki]

Hallo,

Sandy Drobic schrieb:

>
> Okay, und wenn du dein Log auch lesen würdest, dann merkst du sehr schnell
> das relays.ordb.org tot ist...
>   

warning: 166.110.123.62.relays.ordb.org: RBL lookup error: Host or 
domain name not found. Name service error for 
name=166.110.123.62.relays.ordb.org type=A: Host not found, try again

ok.

> Wo du die RBLs hinsetzt, hängt von deinem Policy-Server ab. Werden die
> nachstehenden Checks durchlaufen (etwa wenn der Policyserver zurückgibt
> "defer_if_permit") oder nicht?
>
> Wenn es sich hier um Postgrey handelt und dieser "defer_if_permit"
> wiedergibt, dann sollte der Policyserver hinter den RBLs stehen. Es hat
> keinen Sinn, Greylisting zu checken, wenn er ohnehin die RBLs abfragt und
> von diesen dann gestoppt wird.
>
> Ich habe meinen policyd so abgeändert, dass er "450" zurückgibt, die
> nachfolgenden Checks mit den RBLs also erst durchläuft, wenn Greylisting
> erfolgreich passiert wird.
>   

ich geh mal davon aus, dass mein Postgrey nicht  "defer_if_permit" 
zurückgibt. Ich seh da nämlich nichts in den Logs:

Apr 11 12:09:35 srvx postfix/smtpd[1195]: NOQUEUE: reject: RCPT from 
45.161.38.xx.ip.erdves.lt[86.38.161.xx]: 450 <admin at example.com>: 
Recipient address rejected: Greylisted for 300 seconds (see 
http://isg.ee.ethz.ch/tools/postgrey/help/eample.com.html); 
from=<maccbdoc at cb.xx> to=<admin at example.com> proto=ESMTP helo=<pc>

Aber laut den anderen Tips sollen doch nun die RBls an den Schluss ........


Alexander Stoll schrieb:

>
> Warum das DB Backend mit Einträgen belasten, die von einer RBL sowieso
> weggeworfen werden?
> DNS-Queries fallen immer in großem Umfang an, ein paar Abfragen von RBLs sind
> mir lieber als "Leichen" in der DB mit langer TTL...
> Nur wer alles andere "überlebt", schafft es zum Greylisting.
>
> Gruß, AS

RBls also an den Schluss ......

Uwe Driessen schrieb:

> Eigentlich immer ans ende denn nur wer das vorangehende besteht muß noch gegen die RBL's
> geprüft werden und da es externe Abfragen sind die Zeit kosten ans ENDE 
>
> Meine Konfig sieht so aus und bitte NICHT einfach per Copy und paste übernehmen 
>   

jo iss schon klar, kein copy & paste

>    reject_sender_login_mismatch, 
>   

hm, genau das auch ein Problem. Jedenfalls braucht ja Postfix dazu eine 
Map. Jetzt hab ich hier eine Confixx Datei (geht nun mal nicht ohnen 
Confixx auf dem Server ) confixx_virtualUsers. Beispiel:

holm at test.srvx.example.com web2p1

Kann man die irgendwie mitbenutzen. Eigentlich wird ja bei jeder 
Änderung durch Confixx diese in ein für Postfix lesbares Format gebracht 
.....

confixx_virtualUsers.db


>    check_sender_ns_access hash:/etc/postfix/maps/bogus_dns,
>    check_helo_access pcre:/etc/postfix/helo_checks,
>    check_client_access pcre:/etc/postfix/maps/dynip,
>    check_sender_access pcre:/etc/postfix/apostroph,
>    check_sender_mx_access cidr:/etc/postfix/maps/bogus_mx,
>    check_sender_access hash:/etc/postfix/maps/access,
>   

ja soweit bin ich noch nicht. Hab aber entsprechendes im Buch gelesen.

>    check_policy_service inet:127.0.0.1:60000,
>    check_recipient_access hash:/etc/postfix/roleaccount,
>   

dieses Roleaccount muss wohl schleunigst bei mir rein wegen postmaster 
etc .....

>    reject_rbl_client zen.spamhaus.org,
>    reject_rhsbl_sender dsn.rfc-ignorant.org,
>   

ansonsten sind ja hier die RBls zum Schluss.

Jetzt versteh ich bloss noch nicht Sandys Ansatz.

Gruß Holm