[Postfixbuch-users] richtige Reihenfolge der Checks ?

Uwe Driessen driessen at fblan.de
Di Aug 28 05:15:45 CEST 2007 

Sebastian Deiszner schrieb: 
> Hallo,
> 
> gerade fahren Spammer mal wieder einen Großangriff auf einige Domains.
> Die meisten werden über die dynip-Checks raussortiert - aber bei mir ist
> nun die Frage aufgetaucht, wie die Checks am besten angeordnet sein
> müssten, damit der Server am wenigsten belastet wird.
> 
> smtpd_recipient_restrictions =
> 	permit_mynetworks,
> 	permit_sasl_authenticated,
> 	check_client_access hash:/etc/postfix/forbidden.clients,
> 	reject_non_fqdn_recipient,   <<<<<<vor permit_sasl

> 	reject_unauth_destination,
> 	reject_unauth_pipelining,
> 	reject_unlisted_recipient,   <<<<<<vor permit_sasl     
> 	reject_invalid_hostname,
> 	reject_non_fqdn_hostname,

schnipp----
>         reject_unknown_sender_domain,
>         reject_unknown_recipient_domain,
>         reject_non_fqdn_sender,
>         reject_unauth_pipelining,
schnapp------  die sollten eigentlich vor permit_sasl.. damit verhinderst du das die
eigenen User auch den Unsinn machen 

> 	check_policy_service inet:127.0.0.1:12525,
>         check_client_access pcre:/etc/postfix/dynip,

da die Entscheidung der dynip in der Regel eindeutig ist kannst du die auch direkt nach
permit_sasl setzen 

> 	check_client_access hash:/etc/postfix/access,
> 	reject_rhsbl_sender dsn.rfc-ignorant.org,
> 	reject_rbl_client pl.countries.nerd.dk,
> 	reject_rbl_client ix.dnsbl.manitu.net,
>         reject_rbl_client bl.spamcop.net,
> 	reject_rbl_client dnsrbl.swinog.ch,
> 	reject_rbl_client bl.spamcop.net,
> 	reject_rbl_client list.dsbl.org,
> 	reject_rbl_client multihop.dsbl.org,
> 	reject_rbl_client unconfirmed.dsbl.org,
> 	reject_rbl_client zen.spamhaus.org,
> 	reject_rbl_client bhnc.njabl.org,
>         reject_rbl_client combined.njabl.org,
>   	reject_rbl_client ar.countries.nerd.dk,
>   	reject_rbl_client do.countries.nerd.dk,
>   	reject_rbl_client ru.countries.nerd.dk,
>         reject_rbl_client nl.countries.nerd.dk,
>   	reject_rbl_client es.countries.nerd.dk,
>   	reject_rbl_client dk.countries.nerd.dk,
>   	reject_rbl_client mx.countries.nerd.dk,
>   	reject_rbl_client sa.countries.nerd.dk,
>   	reject_rbl_client lt.countries.nerd.dk,
> 	reject_rbl_client th.countries.nerd.dk,
> 	reject_rbl_client cn.countries.nerd.dk,
> 	reject_rbl_client kr.countries.nerd.dk,
> 	reject_rbl_client gt.countries.nerd.dk,
> 	reject_rbl_client ge.countries.nerd.dk,
>   	reject_rbl_client jp.countries.nerd.dk,
>   	reject_rbl_client ru.countries.nerd.dk,
>   	reject_rbl_client kr.countries.nerd.dk,
>   	reject_rbl_client pl.countries.nerd.dk,
>   	reject_rbl_client gr.countries.nerd.dk,
>   	reject_rbl_client be.countries.nerd.dk,
> 	reject_rbl_client fr.countries.nerd.dk,
> 	reject_rbl_client sk.countries.nerd.dk,


Überprüfe mal wie viele Clients durch die ganzen nerd.dk abgewiesen werden und ob es sich
lohnt wirklich so viele rbl Abfragen zu machen durch pw hast du eigentlich die bessere
alternative zu den ganzen Einzelabfragen 


Mit freundlichen Grüßen

Drießen

-- 
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert
Tel.: 06708 / 660045   Fax: 06708 / 661397

Mehr Informationen über die Mailingliste Postfixbuch-users