[Postfixbuch-users] Integration von DSPAM

oskar-postfix at eyb.de oskar-postfix at eyb.de
Mo Jan 7 13:51:32 CET 2008 

Hi!


Uwe Driessen schrieb am 07.01.2008 00:52:
> Oskar Eyb schrieb:
>> Uwe Driessen schrieb am 06.01.2008 19:50:
>>> Oskar Eyb schrieb:
>>>> in der queue sind einige MAILER-DAEMON mails, die vom Ziel-Server
>>>> (chuck) mit 450 "User unknown in virtual mailbox table (in reply to RCPT
>>>> TO command))" abgewiesen werden.
>>> Jap dafür gibt es ein Postfix Konfigurationseintrag der sich da nennt
>>>
>>> unknown_address_reject_code = 550
> unknown_address_reject_code (default: 450)
> The numerical Postfix SMTP server response code when a sender or recipient address is
> rejected by the reject_unknown_sender_domain or reject_unknown_recipient_domain
> restriction. The response is always 450 in case of a temporary DNS error. 
> 
> Do not change this unless you have a complete understanding of RFC 821. 

Letzteres ist zwar nicht gegeben, aber da muss ich durch ;-)

Muss ich mir sorgen machen über:
postconf: warning: reject_unknown_recipient_domain: unknown parameter

in postconf (5) wird das ja aber aufgeführt.




>> OK. wofür ist dann
>> unknown_local_recipient_reject_code = 550
> unknown_local_recipient_reject_code (default: 550)
> The numerical Postfix SMTP server response code when a recipient address is local, and
> $local_recipient_maps specifies a list of lookup tables that does not match the recipient.
> A recipient address is local when its domain matches $mydestination, $proxy_interfaces or
> $inet_interfaces. 
> 
> The default setting is 550 (reject mail) but it is safer to initially use 450 (try again
> later) so you have time to find out if your local_recipient_maps settings are OK. 

> Example: 
> 
> unknown_local_recipient_reject_code = 450
> This feature is available in Postfix 2.0 and later. 

Ich habe ja nur virtuelle aliase und mailboxen  ( postconf -n 
local_recipient_maps  bringt leer). Wenn ich das richtig verstehe, 
greift bei mir der Parameter überhaupt nicht ( " ** WHEN *** a recipient 
is *LOCAL* ..."



aktuell:

$ postconf -n | grep reject

smtpd_data_restrictions = reject_unauth_pipelining, 
reject_multi_recipient_bounce,
smtpd_delay_reject = no
smtpd_recipient_restrictions = permit_mynetworks, 
permit_sasl_authenticated,    check_helo_access 
pcre:/etc/postfix/helo_checks     reject_invalid_hostname, 
reject_non_fqdn_hostname,    reject_non_fqdn_recipient, 
reject_non_fqdn_sender,    reject_unknown_recipient_domain, 
reject_unknown_sender_domain,    reject_rbl_client ix.dnsbl.manitu.net, 
    reject_rhsbl_sender rhsbl.sorbs.net,    reject_rhsbl_sender 
dsn.rfc-ignorant.org,    reject_unauth_destination 
check_policy_service inet:172.16.0.2:10023,    check_policy_service 
inet:172.16.0.2:12525,  check_client_access 
pcre:/etc/postfix/amavisd_filter_access
unknown_address_reject_code = 550
unknown_local_recipient_reject_code = 550



> Take a look for the first at http://www.postfix.org/postconf.5.html
> Take a look for the second at http://www.postfix.org/postconf.5.html
> Take a look at third at http://www.postfix.org/postconf.5.html
> There all Parameters


> Mumble steht als Platzhalter für recipient, sender, helo, client usw.
> Soll heisen du sollst das Teil unter deiner Restriktionsclasse setzen wo du es haben
> möchtest (Empfehlung smtpd_recipient_restrictionen an der beschriebenen Stelle)
> 
>>>>                     ..., reject_unauth_destination,
>>>>                     check_client_access pcre:/etc/postfix/GREYLISTING
>>>>
>>>>

Ich bin mir ziemlich sicher, dass der Syntax so stimmt, aber irgendwie 
mag postfix 172.16.0.2 als dict-type nicht. auch in [].


smtpd_restriction_classes = check_das_helo_korrekt_ist, greylisting

greylisting = check_policy_service inet:172.16.0.2:10023
   172.16.0.2:10023_time_limit      = 3600
   check_client_access pcre:/usr/local/etc/postfix/GREYLISTING

check_das_helo_korrekt_ist = check_helo_access \
  	pcre:/etc/postfix/helo_checks



postfix/smtpd[98300]: fatal: unsupported dictionary type: 172.16.0.2








>>> Postgrey auch auf defer einstellen und nicht wie Standart defer if permit damit spart
>> man
>>> sich beim ersten Durchgang die ganzen RBL-Anfragen die dahinter kommen sollten
>> Dann aber darf sich Postgrey nicht vertun, sonst ist die Mail wech..?!
> 
> Nein hat damit garnix zu tun im Standart wird die Mail Greylistet wenn sie eigentlich auch
> angenommen werden würde also auch die RBL's und Checks alle sauber übersteht die noch nach
> dem Greylisting kommen 
> 
> Wenn defer eingestellt wird dann wird an dieser Stelle die weitere Prüfung der
> nachfolgenden Restriktionen beim ersten auftauschen des Triple nicht mehr durch geführt
> und der gegenüber bekommt gleich sein 450 reject. Spart im Zweifel einige an Anfragen an
> RBLS bzw. spart für PW ein bissel an Arbeit, die erst nach dem Greylisting kommen sollen.


OK, klingt gut!

Allerdings finde ich DEFER nicht in access(5), es giibt folgenden Fehler 
mit --greylist-action=DEFER


Jan  7 13:39:57 beastie postfix/smtpd[6327]: warning: access table 
inet:172.16.0.2:10023 has entry with lookup table: DEFER 4.2.0 
Greylisted, see http://postgrey.schweikert.ch/help/eyb.de.html

Jan  7 13:39:57 beastie postfix/smtpd[6327]: warning: do not specify 
lookup tables inside SMTPD access maps

Jan  7 13:39:57 beastie postfix/smtpd[6327]: warning: define a 
restriction class and specify its name instead.

Jan  7 13:39:57 beastie postfix/smtpd[6327]: NOQUEUE: reject: RCPT from 
unknown[41.249.38.209]: 451 4.3.5 Server configuration error; 
from=<fbehrens at burnbraedaycamp.com> to=<oskar-saab at eyb.de> proto=ESMTP 
helo=<[41.249.38.209]>




Was mir beim Durchsehen von  mailq (abgesehen von den Spams) wundert ist 
, dass beastie keine Verbindung  zu meinem dialup-MX chuck herstellen 
kann. Nachweislich ist der aber gut erreichbar. Wie kann man das problem 
weiter eingrenzen?


3845D8B81F3     2328 Mon Jan  7 03:56:52  jorge39 at i-gts.com
                  (connect to chuck.ath.cx[88.66.227.178]: Operation 
timed out)
                                          oskar-qmail at eyb.de

$ postconf -d | grep smtp_ | grep time
smtp_connect_timeout = 30s
smtp_connection_cache_time_limit = 2s
smtp_connection_reuse_time_limit = 300s
smtp_data_done_timeout = 600s
smtp_data_init_timeout = 120s
smtp_data_xfer_timeout = 180s
smtp_helo_timeout = 300s
smtp_mail_timeout = 300s
smtp_pix_workaround_delay_time = 10s
smtp_pix_workaround_threshold_time = 500s
smtp_quit_timeout = 300s
smtp_rcpt_timeout = 300s
smtp_rset_timeout = 20s
smtp_starttls_timeout = 300s
smtp_tls_session_cache_timeout = 3600s
smtp_xforward_timeout = 300s


in master.cf is unter smtp auch nichts weiter einschränkendes.






> Gib mich 100 ? dann mach ich das in 5 min fertig, aber dann haste nix dabei gelernt *gg 

Das ist der Punkt!
:-)


Gruß,
Oskar

Mehr Informationen über die Mailingliste Postfixbuch-users