[Postfixbuch-users] Sinvolle Reihenfolge der Checks

[Andre Keller]

Sandy Drobic schrieb:
> Andre Keller wrote:
>> Sandy Drobic schrieb:
>>> Zunächst solltest du mal die Denkarbeit erledigen. Nimm ein Blatt Papier
>>> und liste auf, welche Policies du für welche Clients/Absender/Empfänger
>>> präzise durchsetzen willst.
>> Ich habe mir schon einige Gedanken gemacht:
>> - Das Hauptziel ist möglichst keine False-Positives. Lieber ein SPAM 
>> mehr als ein wichtiges Mail weniger.
>>
>> - Greylisting, habe ich auf einem Produktivserver im Einsatz und es hat 
>> schon ziemlich was gebracht, daher gehört das bestimmt zu den 
>> eingesetzen Mittel. Damit möchte ich vorallem verhindern, dass 
>> irgendwelche SPAM Skripts Mails auf dem Server absetzen.
> 
> Ja, Greylisting und Empfängervalidierung weisen den größten Teil von Spam
> und Viren ab. Diese können aber nicht verhindern, dass Spam/Viren, die
> durch missbrauchte Freemailer-Accounts oder Backscatter-Quellen kommen,
> durchgehen werden.
> 
> Greylisting ist nicht imstande, Mails abzuweisen, die über mißbrauchte
> Scripte (eines Webservers) auf der Kommandozeile eingeliefert werden. Du
> kannst jedoch dem Mailserver verbieten, Mails einzuliefern. Dann müsstest
> du jedoch eine Ersatzroutine (am besten mit smtp auth) einsetzen, welche
> Mails per smtp einliefert.
> 

Wie in meinem letzten Posting geschrieben, dies betrifft keine lokal 
eingelieferte Mails...

>> - Die durch den Mailserver gelaufenen Mails sollten möglichst Virenfrei 
>> sein. Daher Virenscan per ClamAV und Amavisd-New (ev. später noch ein 
>> zusätzlicher Scanner)
> 
> Das ist kein Problem.
> 

Gut zu wissen

>> - Viele SPAM Mails mit Online Casino und Viagra und Rolex und und und. 
>> Daher SpamAssasin (auch über Amavisd-New) mit moderater Einstellung 
>> (welche Score weiss ich noch nicht so genau). Auch sind viele SPAM Mails 
>> welche mich zurzeit erreichen Mails mit gifs oder jpegs (bildspam). 
>> Daher FuzzyOCR Plugin für Spamassasin.
>>
>> - Clients welche per SMTP-Auth einliefern sollen von den restrictions 
>> (und vorallem vom Greylisting) ausgenommen werden _nicht_ jedoch vom 
>> Virenscan.
> 
> Das Stichwort ist Policy Banks für Amavisd-new. Damit kannst du
> verschiedene Policies bestimmen für verschiedene Clients.
> 

Danke für das Stichwort, werde mich da mal einlesen

>> - Auch sollten Mailserver welche sich nicht an die RFCs halten (so wie 
>> ich versehentlich mit dem Greylisting;)) möglichst ferngehalten werden 
>> (non_fqdn...)
> 
> Das ist sehr trickreich, es gibt leider viele Mailserver, die nicht
> korrekt eingerichtet sind (kein sauberer Reverse DNS, HELO auf ungültige
> Adresse etc.). Da musst du selber die Erfahrung sammeln, welche du
> abweist, wieviele du in eine manuelle Whitelist aufnehmen kannst und wo es
> sinnvoller ist, einen Check NICHT einzusetzen, weil er zuviele erwünschte
> Mails abweist.
> 

Ja ich denke da muss ich tatsächlich Erfahrung sammeln. Hast du (oder 
natürlich auch sonnst jemand) hier Erfahrungswerte was sich lohnen 
würde? Im Postfixbuch ist hier zum Beispielreject_unknown_sender_domain 
und reject_non_fqdn_sender angegeben.

> 
>> - Es soll die Möglichkeit bestehen einzenlne Netze oder Adressen 
>> explizit zu sperren resp. zu erlauben. Das heisst eigene 
>> Black/Whitelists zu definieren.
> 
> Meinst du auf Serverebene oder auf Benutzer-Ebene?

Beides. Einerseits Mailadressen explicit vom greylisting/spamassasin 
ausnehmen. Weiter müssen auch Server vom greylisting ausgenommen werden 
können. (zum Beispiel wenn ein Provider die gleiche Mail über 
verschiedene Mailserver erneut zustellt oder so...)

> 
>>> Zu den RBLs: relays.ordb.org ist tot, sbl.spamhaus.org ist zwar noch
>>> aktiv, aber du solltest überlegen, ob du nicht lieber zen.spamhaus.org
>>> verwenden möchtest.
>> Ich habe mal die Policys angeschaut von den einzelnen Listen. Ich weiss 
>> noch nicht so recht ob ich PBL auch einsetzen möchte. Aber auf jedenfall 
>> werde ich xbl.spamhaus.org dazunehmen
> 
> Bisher habe ich noch keine False Positives bei PBL gesehen, aber es gibt
> sie sicher wie auch bei jeder anderen Blacklist. Wichtig finde ich vor
> allem, dass es sehr einfach ist, das Delisting zu beantragen.
> 

Na dann werde ich Sie ebenfalls mal eintragen. Da es im Moment noch ein 
Testsystem ist, kann ja auch nicht allzuviel passieren.

>> Patrick Ben Koetter schrieb:
>>  > Hast Du Ausnamelisten für postmaster und abuse? Diese Adressen musst 
>> Du immer
>>  > annehmen - sonst ist Dein Mailserver nicht mehr RFC-konform.
>>
>> Nein daran habe ich nicht gedacht. Ich werde das ändern.
>>
>>
>> Ich hoffe die Konfiguration der smtpd_recipient_restrictions und 
>> content_filter welche ich gepostet habe, kommen meinen Zielsetzungen 
>> möglichst nahe.
> 
> Mache dir nichts draus, wenn du noch ein paar Monate brauchst, um dich der
> gewünschten Konfiguration anzunähern. Es gibt noch einige an Checks,
> welche du verwenden kannst. HELO-Checks, sender_mx-Checks u.a.m.
> 
> Wichtig ist erst einmal, dass du einen vernünftigen Anfang wählst.
> 

Wie du siehst versuche ich genau das zu erreichen. Zuerst mal ein paar 
Grundgedanken, ein Testsystem und die Erfahrungen von anderen 
Systemadmins einbeziehen.

Dann sollte doch ein ziemlich vernüftiges Setup entstehen oder?;)

Auf jeden Fall Danke für die ausführlichen Infos.


Gruss André