[Postfixbuch-users] recipient restrictions und access

[walhalla]

danke fuer antworten,

>> hi,
>> auf einem server, der nur mails annimmt, spam und viren scannt und dann
>> die mails per smtp (transport) an die empfaengermailserver weiterleitet,
>> hatte ich immer eine access - liste in der main.cf ->
>>
>> smtpd_recipient_restrictions =
>>     permit_mynetworks,
>>     reject_invalid_hostname,
>>     reject_unauth_pipelining,
>>     permit_sasl_authenticated,
>>     check_recipient_access hash:/etc/postfix/access,
>>     reject_unauth_destination,
>>     reject_rbl_client cbl.abuseat.org,
>>     reject_rbl_client ix.dnsbl.manitu.net,
>>     permit
>>
>> auf dem server sind keine user angelegt. domains sind in der transport.
>> in der access sind alle gueltigen adressen der domains, damit keine
>> phantasiemails ankommen und sofort gebounced werden.
>>
>> user1 at domain1.de OK
>> user2 at domain1.de OK
>> ...
>> domain1.de 550 gibts nicht
>> user1 at domain2.de OK
>> user2 at domain2.de OK
>> ...
>> domain2.de 550 gibts auch nicht
> 
> Deine Konfig ist mehr als nur suboptimal. Du versucht mit falschen Mitteln die
> Postfix-Mechanismen nachzubilden.

ist von einem kunde ein server, auf dem ein tool laeuft, mit dem man
user / domains anlegen / bearbeiten kann. daher ist auch die cfg!

> Im Augenblick dürfte keine Mail die Blacklists triggern, wenn deine Konfig wie
> oben aussieht, da die Mail angenommen wird, sobald ein "OK" als Ergebnis
> kommt. Dies kommt mit dem check_recipient_access für jeden gültigen Empfänger,
> alle darunter liegenden Prüfungen werden nicht mehr ausgeführt. Deine
> Empfängerliste ist so also eine Whitelist.
> 
> Verwende besser die für die Domainklassen zugeordneten recipient_maps, dann
> funktioniert dein Konzept erheblich besser und robuster. So schrammst du knapp
> an einem Open Relay vorbei.

ok, dann muss man relay_domains und relay_recipient_maps einbauen.
frage: gibt es in der recipeint_map auch wildcards? wenn fuer eine
domain nicht alle user bekannt sind (oder sogar catchall), kann man dann
"@domain.de OK" oder "domain.de OK" eintragen, damit alle mails an die
domain an den bestimmungsserver relayed werden?

smtpd-restrictions wuerde dann ungefaehr so aussehen, oder ->

smtpd_recipient_restrictions =
    permit_mynetworks,
    reject_invalid_hostname,
    reject_unauth_pipelining,
    permit_sasl_authenticated,
    reject_unauth_destination,
    reject_rbl_client cbl.abuseat.org,
    reject_rbl_client ix.dnsbl.manitu.net,
    permit

danke schonmal

jens