[Postfixbuch-users] policyd-weight
Robert Felber
r.felber at ek-muc.de
Mi Sep 5 14:03:50 CEST 2007
On Wed, Sep 05, 2007 at 01:25:35PM +0200, Christian Wally wrote:
> On Wed, 2007-09-05 at 13:02 +0200, Sandy Drobic wrote:
> >
> > Wenn du weisst, dass du die Mails von diesem Client annehmen willst, dann
> > setze sie in die Whitelist und lasse nur die fragwürdigen Mails von
> > policyd-weight prüfen.
> >
> > smtpd_recipient_restrictions =
> > permit_mynetworks
> > reject_unauth_destination
> > reject_unlisted_recipient
> > check_client_access hash:/etc/postfix/client_whitelist
> > # sonstige Blacklists + checks
> > check_policy_server ...
> >
> > Das reject_unlisted_recipient stellt sicher, dass es den Empfänger gibt.
> > Damit sollten deine Gurkensysteme keine Probleme mehr machen.
> >
> Das habe ich gemacht. Aber eben nur wenn wir das auch gemerkt haben,
> sprich wenn sich jemand beschwert hat. Ich habe in meinem Reply an
> Andreas Pothe ja schon geschrieben warum das nicht mehr erwünscht ist.
>
> > Wenn du anfängst in policyd-weight direkt rumzuhantieren, dann bekommst du
> > eines dieser "gewachsenen" Systeme, wo jedes Update und jedes
> > Umkonfigurieren eine komplette Systemevaluierung benötigt. Bei einer
> > einstelligen Zahl von Problemkindern ist eine Whitelist erheblich weniger
> > aufwendig und die viel robustere Lösung.
> >
> Warum direkt? Ich habe in die /etc/policyd-weight.conf reingeschrieben
> '@helo_score (0, -2);'. Gibt es einen Grund zur Annahme dass nach einem
> Update diese Config nicht mehr ausgewertet wird, oder dass sich die
> Variablennamen ändern? Ich weiß dass auf dieser Liste immer wieder
> gesagt wurde dass man den policyd-weight so einsetzen soll wie er ist
> aber irgendwie ist mir die Begründung noch entgangen.
Scores runterschrauben sollte nicht das Problem darstellen.
Probleme tauchen auf, wenn man unkontrolliert an jeder Ecke und Kante
was aendert, 100 fragwuerdige RBLs hinzufuegt ohne davon abhaengige
scores/levels anzupassen, etc.
Man kann sich ja ein set nach folgendem schema machen:
spam/virus clients die rausgeholt werden sollen
spam/virus clients die durchgehen koennen
ham clients die durchgehen müssen
Beispiel:
# echo "client_address=1.2.3.4
helo_name=forged.org
sender=bar at forged.org
request=smtpd_access_policy
client_address=213.165.64.100
helo_name=mx0.gmx.de
sender=foo at gmx.de
request=smtpd_access_policy
client_address=62.225.182.35
helo_name=kaputte-spelunke
sender=newsletter at www.ek-muc.de
request=smtpd_access_policy
" > testmailers
# echo "@helo_score (0, -2);" > testconfig
# /path/policyd-weight -d -f testconfig <testmailers
Ergebnisse dann eben nach gusto greppen.
Aber, wie gesagt, so simpel wie man es gern haette ist es nicht, da es
mehr als 10 Konstellation zu beruecksichtigen gilt. Beim Runterschrauben von
scores sollte das aber weniger die Rolle spielen.
--
Robert Felber (PGP: 896CF30B)
Munich, Germany
Mehr Informationen über die Mailingliste Postfixbuch-users