[Postfixbuch-users] Config okay so?

Sandy Drobic postfixbuch-users at japantest.homelinux.com
Mo Jan 21 19:55:22 CET 2008 

Andreas Gehrke wrote:
> Hallo,
> 
> falls jemand mal Zeit *gelächter* und Lust hat, kann jemand mal bitte 
> einige Kommentare zu meiner config abgeben? Also z.B. ob die 
> Grundsätzlich scheiße ist oder ob ich was wichtiges vergessen habe oder 
> etwas total sinnlos ist.
> Ich möchte nicht, dass mir jemand ne besser Config fertig präsentiert 
> sondern nur, dass mich jemand mit der Nase auf dass stößt, was ich 
> übersehe oder vielleicht auch unter-/ überschätze.
> 
> 
> # postconf -n
> alias_maps = hash:/etc/aliases
> append_dot_mydomain = no
> biff = no
> broken_sasl_auth_clients = yes
> config_directory = /etc/postfix
> content_filter = lmtp-amavis:[127.0.0.1]:10024
> delay_warning_time = 4h
> inet_interfaces = all
> local_recipient_maps = mysql:/etc/postfix/mysql-canonical.cf, $alias_maps

Wenn du hier jetzt noch so etwas stehen hast wie
@example1.com	@example2.com
dann hast du dir die Empfängervalidierung torpediert.

Ungültige Empfängeradressen nimmt dein Server in diesem Fall erst an und 
pustet sie dann an den, im Falle von Spam gefälschten Absender zurück. Das 
nennt man Backscatter und kann dich schnell auf die Blacklists befördern.

Grundsätzlich würde ich auch von der Architektur nicht die gleiche Abfrage für 
zwei völlig unterschiedliche Zwecke nutzen. Damit kannst du dir selbst 
ungewollt in den Fuß schiessen.

> mailbox_command = /usr/sbin/cyrdeliver
> mailbox_size_limit = 0
> mailbox_transport = cyrus

mailbox_transport übersteuert mailbox_command, also wird dieses nicht ausgeführt.

> message_size_limit = 0

Mit anderen Worten, ich darf dir eine 20 GB-Mail schicken? Setze das lieber 
auf ein vernünftiges Maß.

> mydestination = localhost.localdomain, localhost, 
> mysql:/etc/postfix/mysql-mydestination.cf
> myhostname = mail.alonso-heul-doch.de
> mynetworks = 127.0.0.0/8, xxx.xxx.xxx.xxx/32
> myorigin = /etc/mailname
> notify_classes = resource, software, 2bounce, delay
> recipient_delimiter = +
> relay_domains = domain.tld

Gültige Empfänger für relay_domains sind in relay_recipient_maps. Wenn diese 
nicht existiert, gilt wieder für diese Domain das obige mit kaputter 
Empfängervalidierung und Backscatter.

> sender_canonical_maps = mysql:/etc/postfix/mysql-canonical.cf
> smtp_sasl_auth_enable = yes
> smtp_sasl_password_maps = hash:/etc/postfix/smtp_auth
> smtp_sasl_security_options = noanonymous
> smtp_use_tls = yes
> smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
> smtpd_recipient_restrictions =    permit_mynetworks,      
>                                                      
> permit_sasl_authenticated,     
>                                                      
> permit_tls_clientcerts,
>                                                      
> reject_invalid_helo_hostname,  
>                                                      
> reject_non_fqdn_helo_hostname,       
>                                                      
> reject_unauth_destination,     
>                                                      
> reject_unlisted_recipient,     
>                                                      
> reject_non_fqdn_recipient,     
>                                                      
> reject_unknown_recipient_domain,

Nach reject_unauth_destination kommen nur noch deine eigenen Domains. Dieser 
Check an dieser Stelle weist also nur noch deine eigenen Domains ab, falls man 
dein DNS spinnt. Entweder ganz nach oben oder weglassen.

>                                                      reject_non_fqdn_sender,
>                                                      
> reject_unknown_sender_domain,
>                                                      
> reject_invalid_hostname,
>                                                      
> reject_non_fqdn_hostname,

Diese beiden sind oben schon aufgeführt. reject_invalid_hostname ist die alte 
Schreibweise von reject_invalid_helo_hostname. Ab Postfix 2.3 sollte man die 
eindeutige Schreibweise reject_invalid_helo_hostname verwenden. Gleiches gilt 
für reject_non_fqdn_hostname.

>                                                      
> reject_unauth_pipelining,      
>                                                      reject_rbl_client 
> zen.spamhaus.org,
>                                                      reject_rbl_client 
> dnsbl.njabl.org,     
>                                                      
> check_policy_service inet:127.0.0.1:12525,     
>                                                      
> check_policy_service inet:127.0.0.1:60000
> smtpd_sasl_auth_enable = yes
> smtpd_sasl_local_domain =
> smtpd_sasl_security_options = noanonymous
> smtpd_tls_CAfile = /etc/postfix/mailserver.cert
> smtpd_tls_auth_only = no
> smtpd_tls_cert_file = /etc/postfix/mailserver.cert
> smtpd_tls_key_file = /etc/postfix/mailserver.key
> smtpd_use_tls = yes
> strict_rfc821_envelopes = yes
> virtual_alias_maps = mysql:/etc/postfix/mysql-virtual.cf

Auch hier in virtual_alias_maps gilt, dass globale Adressumschreibungen nach 
dem Motto
@example1.com	@example2.com
die Empfängervalidierung kaputtmachen. Achte darauf, dass dies in virtual 
nicht der Fall ist.


-- 
Sandy

Antworten bitte nur in die Mailingliste!
PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com

Mehr Informationen über die Mailingliste Postfixbuch-users