[Postfixbuch-users] habe ich da was falsch gemacht ?

Sandy Drobic postfixbuch-users at japantest.homelinux.com
Sa Jan 20 12:56:23 CET 2007


Uwe Driessen wrote:
> Sandy schrieb :
>> Subject: Re: [Postfixbuch-users] habe ich da was falsch gemacht ?
>>
>> Zeige besser mal Logauszüge, wo das Problem auftritt. Im Augenblick weiss
>> ich wirklich nicht, was du sagen willst. (^-^)
> 
> Dem komme ich gerne nach da steht nur nichts aufregendes aus meiner sicht
> drinne eins mit -vvv habe ich vor 2 tagen schon mal gepostet gehabt was aber
> auch nicht mehr aussagte kann ich dir aber gerne sofern du sehen möchtest
> noch mal direkt schicken (will die liste nicht mit doppelpost strapazieren)
> Komisch ist nur das da zwischen auch immer wieder Mails von anderen
> angenommen und bearbeitet werden während diese noch nicht mal die
> Kommunikation sauber aufbauen.
> Ebay.com baut nicht auf und in der gleichen sec kommt von ebay.de eine mail
> an und wird zugestellt.

Ist eine Firewall vorgeschaltet, wenn ja, welche? Wie ist der Server ans 
Internet angeschlossen?

> Jan 20 02:58:02 fblan postfix/smtpd[22887]: connect from
> host81-158-96-189.range81-158.btcentralplus.com[81.158.96.189]
> Jan 20 02:58:02 fblan postfix/smtpd[22887]: lost connection after CONNECT
> from host81-158-96-189.range81-158.btcentralplus.com[81.158.96.189]
> Jan 20 02:58:02 fblan postfix/smtpd[22887]: disconnect from
> host81-158-96-189.range81-158.btcentralplus.com[81.158.96.189]
> Jan 20 02:58:37 fblan postfix/smtpd[22853]: disconnect from
> mxpool02.ebay.com[66.135.197.8]

Wieviele smtpd sind in master.cf bei dir eingestellt?
Verwendest du amavis als pre-queue-filter?

Teste auch alle Blacklists mal, ob diese wirklich noch leben. Bei mir 
hatte EINE tote RBL gereicht, dass ich ständig Timeouts hatte. Bei dir 
scheint jedoch kein Timeout zu sein.

>> Der Rest ist nur doppelt aufgeführt oder in den vorhandenen Checks
>> enthalten.
> 
> Danke für die Schlanke Version und das Kopfwaschen.
> Angefangen habe ich wie viele und aus den im Netz geposteten Configs bzw.
> "einer bestimmten" Installationsanleitung eine Config übernommen damit es
> mal funktioniert und das hat es auch.

Ich tue mich immer schwer mit Anleitungen, die ich nicht verstehe. 
Zumindest muss es möglich sein, nachzuvollziehen, warum die Konfiguration 
so sein soll. Im Augenblick habe ich drei RBLs im Einsatz, und da jetzt in 
zen.spamhaus.org auch die dynalist.njabl.org integriert ist, werden es 
jetzt sogar nur noch zwei sein.

> Warum da verschiedene Prüfung doppelt vorhanden waren habe ich da erstmal
> nicht in Frage gestellt aber wirklich erschlossen hatte es sich mir auch
> nicht mehr nach dem ich mir dann endlich mal ein Buch gekauft habe. Nur an
> die Änderung hatte ich mich noch nicht herangetraut (es funktionierte ja).  
> Lediglich die Reihenfolge wurde in eine nach meiner Meinung bessere gebracht
> und das habe ich jetzt gesehen habe ich vergessen die eine oder aber Zeile
> nach dem versetzen zu löschen. 

Gerade bei den RBLs würde ich sehr vorsichtig sein. Auch das 
reject_unknown_client_hostname würde bei mir etliche erwünschte Mails 
ablehnen.

>> Den Policyserver postgrey über den RBLs einzusetzen macht ohne Abänderung
>> keinen Sinn. Wenn ich das Script richtig gelesen habe, ist die
>> Default-Action von Postgrey "defer_if_permit". Er klappert also ohnehin
>> alle RBLs ab und meldet nur dann einen Tempfehler, wenn die RBLs NICHT
>> zuschlagen. Wenn du schlanker laufen willst und nur die RBLs für jene
>> Clients abfragen willst, die durch das Greylisting kommen, dann musst du
>> den Default auf "defer" setzen. Ansonsten kannst du den Policyserver auch
>> hinter den RBLs aufrufen.
> 
> Rat werde ich umsetzen. 
> (für Postgrey sind nicht ganz so gut lesbare Beschreibungen zu finden die
> muß ich mal in ruhe durchackern, die meisten Installationen scheinen nur in
> der Grundeinstellung betrieben zu werden).
> Schaue mir aber auch gerne mal eine Beispielkonfig an die dann grundsätzlich
> mit defer antwortet. Weil verstanden wie Postgrey/Postfix dafür konfiguriert
> werden müssen das da grundsätzlich erstmal ein defer kommt habe ich noch
> nicht. 

Postgrey ist ein Perlscript, du kannst dort direkt die Option ändern. 
Suche einfach mal nach "defer_if_permit" und ersetze es durch "defer". 
Dann testen, ob der defer sauber kommt. Bei mir mit Policyd musste ich 
statt "defer_if_permit" nur "450" setzen, um einen direkten Tempreject zu 
bekommen.

> Ich war wie viele andere auch der Meinung das Postgrey immer zuerst ein 450
> auslöst und erst wenn derjenige dann wieder kommt ein OK bekommt und nicht
> erst die komplette RBL's durchrennt  

Ich hatte das auch für Policyd angenommen, bis ich gesehen hatte, dass 
reject_unverified_sender aufgerufen wurde, obwohl Greylisting davor stand 
und der Policyserver im Log erschien.

Vermutlich ist die Hypothese, dass nur dann ein Tempfehler gemeldet werden 
soll, wenn keiner der nachfolgenden Checks nicht permament ablehnt. Nur 
kann man dann Greylisting nicht dafür verwenden, aufwendigere 
nachgeschaltete Checks abzuschirmen vor der Masse an Zombiespam.

>> So ganz nehme ich dir das nicht ab, dass du diese lange Liste von RBLs
>> gründlich abgeklopft hast auf Kompatibilität.
> 
> Stimmt da habe ich mich an Empfehlungen anderer gehalten welche gute?
> Erfahrungen damit haben. 3 Stück deren Beschreibung mir zwar sehr gut
> gefallen haben aber auch einige eigentlich erwünschte Mails rausgeworfen
> haben sind in der Zwischenzeit wieder eliminiert.

Such doch einfach mal in Google nach "false positive" "name-der-rbl".

> Die Auswertung wer wie viel und warum bekomme ich jeden morgen ins Postfach
> für den vergangenen Tag. Muß ich aber noch ein paar tage sammeln das läuft
> erst seit 14 Tagen.

Ich würde auf jeden Fall empfehlen, immer wieder mal die RBLs zu testen, 
ob sie richtig laufen.

>> Persönlich ist meine Meinung, dass die wichtigste Aufgabe des Mailserver
>> ist, robust und zuverlässig die erwünschten Mails zu empfangen und zu
>> verschicken und dann in zweiter Priorität soviel Spam/Viren wie möglich
>> ablehnen sollte. Deine Policy kann durchaus anders sein, auf der
>> englischen Liste hatte einer sogar verkündet, dass sein Chef nichts
>> dagegen hatte, wenn er 2 Prozent der eigentlich erwünschten Mails ablehnt,
>> solange er wirksam gegen Spam angeht. Mein Chef hätte einige erlesene
>> Worte parat, wenn ich das tun würde.
> 
> Nun ja diese wegwerf Domains wegen derer ich angefangen hatte auch die
> anderen RBL's auszuprobieren, habe ich auf andere Weise in den Griff
> bekommen. 

Welche Wegwerf-Domains?

> Eigentlich möchte ich vermeiden das Amavis "echten" Spam zu sehen bekommt.
> Heißt es sollte eigentlich alles was von vorneherein als Spamversender
> entlarvt werden kann nach Möglichkeit nicht vom Server angenommen werden.

Je nachdem, wieviel Mails ihr bekommt und wie leistungsfähig deine 
Hardware ist, kannst du auch spamd bzw. Amavisd-new als pre-queue-Filter 
laufen lassen, dann kannst du erkannten Spam direkt mit REJECT ablehnen.

Aus Robustheitsgründen habe ich das bisher nicht gemacht.

> Und alle anderen die dann als Spam abgelehnt wurden bekommen ja eine
> Nachricht und können dann auf andere Art und weise die mails noch mal

Verlasse dich bitte nicht darauf, dass Mailserver anderer Leute korrekt 
und robust eingerichtet sind. Ich habe schon mehr als einen Server erlebt, 
der nicht zustellbare Mails direkt löschte und KEINE Nachricht an den 
Absender schickte.
Anfang des Jahres kam wieder eine Umfrage eine Institutes, in der auch die 
Frage stand "Haben Sie schon einmal Mails verloren?" Im ersten Moment habe 
ich gedacht, das geht doch gar nicht. Dann habe ich mich an eine Situation 
erinnert, wo ich für einen Test mit Adressenumschreibungen plötzlich alle 
hereingeschickten Mails in den Orkus befördert hatte.

> senden. Aber ich denke mal das wird eine endlose Diskussion und da gibt es
> auch kein richtig oder falsch nur ein "der eine macht es so der andere so"
> und mit 2 % spam könnte ICH gut leben aber einige der Kunden nicht.(.ru .it
> Server/clients welche als Domainabsender Volksbank.de drinne haben aber die
> werden ja schon vorher gefiltert) 

Ich habe etwa 1-3 Prozent Spam dabei auf unserem Firmenserver, aber die 
Optimierung ist auch eindeutig die Zustellung erwünschter Mails und nicht 
die Spambekämpfung (kein allgemeines, nur selektives Greylistung und 
konservative RBLs, keine Checks, die mehr als eine Handvoll 
Whitelist-Einträge erfordern).

Sandy
-- 
Antworten bitte nur in die Mailingliste!
PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com




Mehr Informationen über die Mailingliste Postfixbuch-users