[Postfixbuch-users] eingeartiger Logeintrag

Sandy Drobic postfixbuch-users at japantest.homelinux.com
Mi Jul 18 17:24:30 CEST 2007


Conny Klemm wrote:
> 2007/7/18, Maximilian Thoma <nospam at thoma.cc>:
>> Kannst du mal ein postconf -n schicken ?
> 
> 
> 
> address_verify_sender = postmaster at ra-kohlschein.de

Ok.

> relayhost =

> smtp_sasl_auth_enable = yes
> smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
> smtp_sasl_security_options = noanonymous

Diese drei Optionen machen keinen rechten Sinn zusammen mit dem
Relayhost-Setting. War das mal eine Relayhost-Konfig?

> smtp_use_tls = no
> smtpd_banner = $myhostname ESMTP $mail_name
> smtpd_client_connection_rate_limit = 20
> smtpd_client_restrictions =
> smtpd_error_sleep_time = 10s
> smtpd_hard_error_limit = 5
> smtpd_helo_required = yes
> smtpd_helo_restrictions =
> smtpd_recipient_restrictions =
> permit_sasl_authenticated,
> permit_mynetworks,
> reject_unauth_destination,

reject_unlisted_recipient

Prüft hier an dieser Stelle, ob die Empfängeradresse gültig ist. Diese
Prüfung sollte vor jeder Whitelist kommen und natürlich auch vor jedem
Check, welche externe Abfragen wie DNS oder gar Probemails zur Folge hat.

> check_sender_access    regexp:/etc/postfix/filter/sender_access,
> check_client_access hash:/etc/postfix/filter/client_access
> check_helo_access hash:/etc/postfix/filter/helo_checks,

Nimm für die Access Tables besser sprechende Namen wie
helo_blacklist
client_whitelist

Das födert ungemein die Transparenz.

> check_policy_service unix:private/policy,
> reject_invalid_hostname,
> reject_non_fqdn_hostname,
> reject_non_fqdn_sender,
> reject_non_fqdn_recipient,
> reject_unknown_sender_domain,
> reject_rbl_client sbl.spamhaus.org,
> reject_rbl_client sbl-xbl.spamhaus.org,
> reject_rbl_client list.dsbl.org,
> reject_unverified_sender,

Ohne reject_unlisted_recipent wird die Gültigkeit der Empfängeradresse am
Ende der smptd_recipient_restrictions durchgeführt, also direkt nach
reject_unverified_sender.

Ich rate dir jedoch, reject_unverified_sender in Rente zu schicken oder
wenigstens nur selektiv einzusetzen. Zumindest bei mir gab es zu viele
False Positives. Greylisting hat die sender_verify völlig überflüssig
gemacht und hat bisher keine False Positives gehabt.

-- 
Sandy

Antworten bitte nur in die Mailingliste!
PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com




Mehr Informationen über die Mailingliste Postfixbuch-users