[Postfixbuch-users] smtpd_recipient_restrictions - parameter- machen die sinn?

Maximilian Thoma nospam at thoma.cc
So Jul 15 14:07:19 CEST 2007


Hi,

also ich setze folgende Kombination ein.

smtpd_recipient_restrictions =
        reject_non_fqdn_recipient
        reject_non_fqdn_sender
        reject_unknown_sender_domain
        reject_unknown_recipient_domain
        permit_mynetworks
        permit_sasl_authenticated
        reject_unauth_destination
        check_recipient_access hash:/etc/postfix/schwarze_liste
        check_recipient_access hash:/etc/postfix/roleaccount_exceptions
        reject_multi_recipient_bounce
        check_helo_access pcre:/etc/postfix/helo_checks
        reject_invalid_hostname
        reject_rbl_client zen.spamhaus.org
        check_sender_mx_access cidr:/etc/postfix/bogus_mx
        check_client_access regexp:/etc/postfix/filter-catchall.regexp 


schwarze_liste ist bei mir eine liste mit addressen für adressen die in
einer catchall domainligen und nur spam bekommen z.B. betzler at domain.de

bogus_mx:
0.0.0.0/8       550 Mail server in broadcast network
10.0.0.0/8      550 No route to your RFC 1918 network
127.0.0.0/8     550 Mail server in loopback network
224.0.0.0/4     550 Mail server in class D multicast network
172.16.0.0/12   550 No route to your RFC 1918 network
192.168.0.0/16  550 No route to your RFC 1918 network

helo_checks:
/^mail\.server\.net$/         550 Don`t use my hostname
/^111\.222\.111\.222$/            550 Don`t use my ip address
/^\[111\.222\.111\.222\]$/        550 Don`t use my ip address

roleaccount_exeptions:
postmaster@     OK
abuse@          OK
hostmaster@     OK
webmaster@      OK

filter_catchall.regexp:
/^/ FILTER amavis:[127.0.0.1]:10024


Filter_catchall existiert für nicht SASL authentifizierte Mails. Wenn du
es in content_filter reinmachst taggt er auch die abgehenden Mails die SASL
authentifiziert sind und wenn du eine dynamische IP hast von deinem ISP
dann bekommst du von spamassassin gleich mal 2 - 3 Punkte aufgebrummt.

Falls jemand noch verbesserungsvorschläge zu meiner lösung hat wo ich
evtl. jetzt noch nicht darauf geachtet habe wäre ich dankbar.


gruß


maximilian














 


On Sun, 15 Jul 2007 13:33:22 +0200, Carsten Tschach <Carsten at Tschach.com>
wrote:
> Okay...
> 
> dann noch ein paar Infos, was der Server macht: Eigentlich ist das mein 
> "privater" Mails-Server, wo ich und die Familie drauf zugreifen. Ist ein
> eigener 
> Server bei einem ISP mit einer festen IP.
> 
> Er hat zwei Aufgaben:
> 
> a)
> Er nimmt die Mails aus der Welt an und speichert sie in localen
> (virtuellen) 
> mailboxen.
> 
> b)
> Er soll als Smart-Mailer für mein Netz zu Hause arbeiten. Mails die
> versendet 
> werden, werden auf dem Router von einem lokalen Postfix angenommen und
> mittels 
> Smart-Host an den Server beim ISP weitergeleitet. Eine Identifizierung
> passiert 
> mit sasl-auth via tls.
> 
> 
> So...und das war's auch schon....
> 
> Achja...was für Absender ich bei ausgehenden Mail angebe sollte egal
> sein. Ich 
> habe einen ganzen Sack voller Domains und wähle die je nach Zielgruppe
> aus, 
> benutze aber immer nur den einen Mailserver mit einem sasl-user.
> 
> 
> Wäre super, wenn mit jemand jetzt nochmal die sinnvollen Paramter für 
> "recipient_restriction" nennt.
> 
> 
> Danke....Carsten
> 
> 
> 
> 
> Peer Heinlein wrote:
>> Am Sonntag, 15. Juli 2007 08:43 schrieb Carsten Tschach:
>>> wollte mal fragen, ob die folgenden Parameter für
>>> "smtpd_recipient_restrictions" Sinn machen:
>>>
>>> Im Moment habe ich da:
>>>
>>> 	permit_mynetworks
>>> 	permit_sasl_authenticated
>>> 	permit_auth_destination
>>> 	reject_unauth_destination
>> 
>> Was soll denn NACH diesen beiden Zeilen kommen?
>> a) auth wird erlaubt
>> b) unauth wird verboten.
>> 
>> Danach KANN nichts mehr übrig bleiben...:
>> 
>>> 	reject_unknown_sender_domain
>>> 	reject_unauth_pipelining
>>> 	reject_non_fqdn_recipient
>> 
>> Und: Warum erlaubst Du Deinen Nutzern mit kaputten Absenderdomains Mails
> 
>> einzuliefern? Sollte man da nicht etwas auf seine Kinderchens aufpassen?
>> 
>>> Bei "smtpd_sender_restrictions" habe ich:
>>>
>>> 	permit_mynetworks
>>> 	permit_sasl_authenticated
>>> 	reject_unauth_destination
>>> 	reject_non_fqdn_sender
>>> 	permit
>> 
>> Wirf das alles in die recipient_restriction rein. Es macht einfach
> keinen 
>> Sinn alles doppelt und dreifach zu prüfen. Laß die sender leer und gut
> 
>> ist.
>> 
>> 
> -- 
> _______________________________________________
> Postfixbuch-users -- http://www.postfixbuch.de
> Heinlein Professional Linux Support GmbH
> 
> Postfixbuch-users at listi.jpberlin.de
> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
-- 
>>>> Maximilian Thoma
>>>> nospam-at-thoma.cc
>>>> Resistance is futile ...
>>>
>>
>




Mehr Informationen über die Mailingliste Postfixbuch-users