[Postfixbuch-users] Postfix UCE einrichten

[Sandy Drobic]

Stipo wrote:
>>>> Stipo wrote:
>>>>> Hallo zusammen,
>>>>>
>>>>> wer kann mir ein gutes HOWTO empfehlen, um den Postfix UCE gerecht
>>>>> einzurichten?
>>
>> Hast du ein Problem dann schick log's und config an die Liste.
>> Ein einzelnes Problem oder ein Mittel gegen bestimmte UBE/UCE wird man
>> immer nennen können
>> aber nicht allgemein.
>> Ich nehme mal an das man bei 100 Mailservern von 100 Administratoren 100
>> unterschiedliche
>> Herangehensweisen und configs hat also nichts was einfach so in ein howto
>> passt

> Indirekt hatte ich ein Problem mit Spam und der Serverlast. Daher hab ich
> mich entschieden, dass ich die Spam Mails schon im Postfix filtern lassen
> möchte. Mir ist bewusst, dass man solche Probleme über viele Wege lösen
> kann, aber wenn man leichte Anhaltspunkte bekommt, wie man vorgehen kann,
> dann hilft einem das ungemein.

Grundsätzlich ist die Überlegung, soviel wie möglich von unerwünschten 
Nachrichten direkt von Postfix (vor der Annahme der Mail) abzulehen, völlig 
richtig. Die Schwierigkeit liegt darin, Kriterien zu finden, welche möglichst 
effektiv arbeiten und möglichst wenig erwünschte Mails abweisen.

> Gestern habe ich einige Einstellungen aus dem Archiv heraus gelesen und mich
> darüber näher informiert. Im Moment sieht es fast so aus, als das ich den
> Spam mit Postfix Boardmitteln in Griffe bekommen habe.
> Hier mal kurz einen Auszug meiner main.cf:
> 
> smtpd_client_restrictions =
>     permit_mynetworks
>     permit_sasl_authenticated
>     check_policy_service inet:127.0.0.1:60000 
> smtpd_recipient_restrictions = 
>     permit_mynetworks
>     reject_unknown_sender_domain
>     reject_non_fqdn_sender
>     reject_non_fqdn_recipient
>     permit_sasl_authenticated
>     reject_unauth_destination
>     reject_unknown_client
>     reject_invalid_hostname
>     reject_unknown_hostname
>     reject_non_fqdn_hostname

Ich schlage vor, das etwas umzustellen:

  smtpd_recipient_restrictions =
      permit_mynetworks
      reject_non_fqdn_sender
      reject_non_fqdn_recipient
      permit_sasl_authenticated
      reject_unauth_destination
      reject_unlisted_recipient
      check_client_access hash:/etc/postfix/client_whitelist
      reject_unknown_sender_domain
#     reject_unknown_client
      reject_invalid_hostname
#     reject_unknown_hostname
      reject_non_fqdn_hostname
      check_policy_service inet:127.0.0.1:60000

Das "reject_unlisted_recipient" hinter reject_unauth_destination stellt 
sicher, dass unbekannte Empfänger in deiner Domain direkt abgewiesen werden. 
Damit entlastest du auch den Server von vielen DNS- und Policy-Abfragen von 
dahinterliegenden Checks.

Die beiden auskommentierten Checks haben beide ein hohes Risiko, falsch Mails 
abzuweisen. Es gibt eine Menge Server, die sich mit "exchange.local" und 
ähnlichem Müll im HELO melden. Diese würden dann von 
reject_unknown_helo_hostname abgewiesen.

reject_unknown_client_hostname hat ebenfalls das Risiko, insbesondere, wenn 
die Mails aus bestimmten Ländern kommen, von denen manche Provider es immer 
noch nicht begriffen haben, dass ein Mailserver einen sauberen Reverse DNS 
Eintrag braucht.

Auch ein Fehler beim DNS kann dafür sorgen, dass Clients als "unknown" im Log 
auftauchen. Wenn dein eigener DNS-Server etwa nicht sauber arbeitet, werden 
alle externen Clients abgewiesen. Allein aus dem Grund würde ich die 
wichtigsten Server, mit denen man regelmäßig Kontakt hat, in die Whitelist 
aufnehmen.


-- 
Sandy

Antworten bitte nur in die Mailingliste!
PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com