[Postfixbuch-users] postfix address verify

[Peer Heinlein]

Am Dienstag, 15. April 2008 schrieb Thomas Beger:

> Meine Fragen waren hier eher grundlegender Natur, ich will die Art und
> Weise der Address- Verify verstehn einschl. der Parameter.

Ganz einfach:

Postfix tut so, als ob es eine Mail zustellen würde und schaut, ob der 
RCPT TO beim Ziel durchgeht. Dann bricht es ab, verschickt also keine 
Mail.

Demnach brauchst Du nur "reject_ubnverified_recipients" in den 
Restrictions und schon geht es. Alternativ noch der Pfad zu einer DB. 
Mehr aber auch nicht.

Alles weitere ist nur für Sonderfälle. Die address_verify_transport_maps 
braucht man nur, wenn man ABWEICHEND vom normalen Mailrouting (DNS oder 
transport-Maps) ein eigenes "verify"-Routing einrichten will.

Beispiel: Das Mailrelay soll den Verify auf dem Exchange ausführen, obwohl 
das mailrouting die mails zunächst noch an irgendeinen Spamfilterkrempel 
weiterleiten würde. Also weichen ausnahmsweise (!) transport_maps und 
adress_verify_transport_maps ab. 

Und entsprechend gibt es dann auch relayhost und address_verify_relayhost. 
Nur braucht man letzteres eh nicht, da Du ja nicht ausgehende Empfänger 
verifizieren und diese auf Deinem Relayhost gegenchecken willst.

> Die Seite von Postfix.org Adress-Verify listet diesen Parameter auf,
> ohne das ich den Parameter zuordnen konnte. 

Dann setze ihn nicht, sondern ignoriere ihn. Was man nicht kennt, das faßt 
man nicht an. Einfaches Überlebensprinzip. :-)

> >> hinter "relayhost = " ist eigendlich leer, da Postfix aus der DMZ
> >> selbst versendet.
> >
> Ist leer.

Eben. Also soll/will/kann Dein Postfix auch nicht GMX-Empfänger bei einem 
Host namens $mydomain prüfen wollen.

> > Also ENTWEDER der relayhost ODER die transport_maps. Beides macht
> > keinen Sinn. Macht es bei normalen Mails nicht, macht es beim Verify
> > auch nicht.
>
> relayhost für ausgehende e-Mail's vom internen Postfix. 

Du hast eben gerade geschrieben, daß er ausgehende E-Mails direkt aus der 
DMZ versendet. Wieso und wie soll Postfix jetzt GMX-Mails auf irgendeinem 
anderen Relay checken können?! WENN er die checken soll (was er NICHT 
soll) dann eben ganz normal bei GMX...

> Für e-Mail's 
> aus dem Internet halt die Domain- und Empfängerprüfung, einschl.
> Virenprüfung.

Eben. Und zwar auf dem Host, auf dem auch Deine transport_maps zeigen 
wird.

Und da das ja der Normalfall ist zeigt address_verify_transport_maps 
überraschenderweise auf transport_maps. Also nicht verändern.

> >> address_verify_transport_maps = /etc/postfix/verify_transport
> >>        /etc/postfix/verify_transport
> >>        example.com      smtp:[ip.adresse]:25
> >>        example.de       smtp:[ip.adresse}:25
> >
> > Naja, steht das nicht eh schon in Deiner transport-Maps drin?
>
> Nö, bis jetzt wird ja noch lokal an Cyrus ausgeliefert, das soll ja
> verändert werden

Ja, aber es WIRD dann da drin stehen und der Verify-Prozeß soll sich DANN 
doch auch nach genau diesen Informationen richten.

> mydestination = $myhostname, $mydomain, localhost.$mydomain, localhost,
> example.com

Besser weil fehlerunträchtiger: $mydomain


> smtpd_recipient_restrictions = reject_non_fqdn_recipient,
>        reject_non_fqdn_sender,
>        reject_invalid_hostname,
>        reject_non_fqdn_hostname,
>        permit_sasl_authenticated,
>        permit_mynetworks,
>        check_sender_access        hash:/etc/postfix/sender_access,
>        check_recipient_access hash:/etc/postfix/access,

Hier reject_unverified_recipients einfügen.

> reject_unauth_destination,
>               permit


> unknown_local_recipient_reject_code = 550

Und als Pendant dann noch
unverified_recipient_reject_code = 550

Peer



-- 
Heinlein Professional Linux Support GmbH
Linux: Akademie - Support - Hosting

http://www.heinlein-support.de

Zwangsangaben lt. §35a GmbHG:
HRB 93818 B / Amtsgericht Berlin-Charlottenburg, 
Geschäftsführer: Peer Heinlein  -- Sitz: Berlin