[Postfixbuch-users] postfix restrictions - Bitte um Hilfe

Uwe Driessen driessen at fblan.de
Mi Apr 2 16:22:18 CEST 2008 

Michael schrieb:
> Es geht um das leidige Thema Spam. Ich betreue einen Mailserver, der den ganzen Tag
> nichts macht, außer Spams zu bearbeiten.
> Ab und zu ist auch mal eine "richtige" Mail dabei ;-)

*gg 

> 
> Ich verwende postfix in der Version 2.1.5 auf einem System mit SuSE 9.2.

Updaten, Updaten, Updaten

> 
> Ich kann leider nicht updaten :-(

Dann stell ein neues System daneben und ziehe darauf um oder schalte das neue System als
MX davor

> 
> Als content-filter habe ich amavis eingebunden, wobei auch spamassassin aufgerufen wird.

ok

> 
> Um die Fluten von Spams etwas einzudämmen, und dem System etwas Performance für andere
> Dinge zu überlassen, möchte ich die Beschränkungen im postfix  optimieren, so dass nicht
> jede beliebige Mail von amavis/spamassassin bearbeitet werden muß und unnötig Ressourcen
> verschwendet.

Das mache ich schon immer so 

> 
> Das Vorhaben ist sehr heikel, da dieser Mailserver sehr viele extrem wichtige Kunden-
> Accounts hostet, also keine "echten" Mails abgelehnt werden sollten.

Sollte wirklich nicht passieren

> 
> Die Toleranz will ich aber etwas einschränken und den Standards anpassen, so dass
> normale Mails weiterhin sicher ankommen.

Öhm welche Toleranz entweder das ist eine gewünschte Mail dann muß ich dafür sorgen (zur
Not mit ausnahmen) das die Mails angenommen werden, alles andere wird nicht toleriert. 

> 
> 
> Hier der jetzige Ausschnitt aus der main.cf:
> 
> smtpd_helo_required     = yes
> strict_rfc821_envelopes = yes
> disable_vrfy_command = yes
> 
> unknown_address_reject_code  = 554
> unknown_hostname_reject_code = 554
> unknown_client_reject_code   = 554
> 
> smtpd_client_restrictions =
> smtpd_helo_restrictions =
> smtpd_sender_restrictions =
> smtpd_recipient_restrictions =
>         permit_mynetworks,
>         permit_sasl_authenticated,
>         reject_unauth_destination
> smtpd_data_restrictions =
> 
> 
> Ich möchte nun die restrictions optimieren und evtl. welche von den folgenden einsetzen:

Das verbiete ich auch eigenen Usern also vor permit_sasl
>   reject_unknown_sender_domain
>   reject_non_fqdn_sender
>   reject_non_fqdn_recipient


Die nachfolgenden  Regeln nur nach Sasl_auth setzen 

>   reject_unknown_client
>   reject_invalid_hostname
>   reject_unknown_hostname
>   reject_non_fqdn_hostname

Die habe ich alle so im Einsatz 

>   reject_rbl_client domain.tld
So was gehört an den Schluss wenn jemand alle anderen checks überlebt hat dann kann ich
wenn ich das möchte evtl. noch mal die RBL's abfragen. Bei guter vorheriger Prüfung
bleiben dort in der Regel aber kaum noch welche hängen, kann ich als sparen bzw. gegen
Policyd-weight austauschen 

Das gehört in die Rubrik
smtpd_data_restrictions =
>   reject_unauth_pipelining

Wie schaut es denn mit Postgrey aus ?
Policyd-weight und da war noch eins ich meine von Andreas Pothe alles feine Tools die den
Großteil des Spams vor der Annahme erkennen und abweisen(vereinfacht ausgedrückt) 

> 
> Nun bin ich mir aber extrem unsicher, welche an welcher Stelle und in welcher
> Reihenfolge Sinn machen und nicht den normalen Email-Verkehr erschweren.
> Auch weiß ich nicht, welche RBLs ich abfragen sollte, die dies auch in der kommerziellen
> Form kostenlos zulassen.
> 
> Ich würde mich riesig freuen, wenn jemand seinen Ausschnitt der restrictions einmal
> posten könnte, die sicher funktioniert.
> 

Meine funktioniert sicherlich aber genau für meinen Server hier, manch anderer Mailserver
dürfte damit aber nicht mehr seine Aufgabe erfüllen.

Logfile studieren, sortieren, auswerten!!!!!
Woher kommt UBE/UCE
Wer versendet diesen  UBE/UCE
Auszüge Posten dann kann man genau für diesen Fall eine Regel nennen. Mit dem einbau der
obigen Restriktionen sollte aber schon einiges fliegen.

Überprüfe aber deine Logs das nicht ab und an mal eine Gewünschte abgewiesen wird.

Wenn es nicht besser wird noch log posten es gibt noch einen ganzen Sack voll
Möglichkeiten.


Mit freundlichen Grüßen

Drießen

-- 
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert
Tel.: 06708 / 660045   Fax: 06708 / 661397

Mehr Informationen über die Mailingliste Postfixbuch-users