[Postfixbuch-users] Reihenfolge von Black-/Whitelisting und reject_unauth_destination in smtpd_recipient_restrictions

Michael Grimm trashcan at odo.in-berlin.de
So Aug 9 18:37:53 CEST 2009 

Moin, moin -

Vor einem halben Jahr habe ich den Schritt von Exim nach Postfix
durchgeführt. Habe mir das Buch gekauft und die Konfiguration
damit vorgenommen. Alles läuft sehr zu meiner Zufriedenheit.

Ich habe nur ein prinzipielles Verständnisproblem bezüglich des
Kapitels 8.8, in dem es um die smtpd_recipient_restrictions geht,
und insbesondere um die Reihenfolge der einzelnen Tests, die man
ja auch nur dann ändern solle, wenn man wisse, was man täte. Da
ich mir diesbezüglich unsicher bin, frage ich hier ;-)

Hier mein diesbezüglicher Aufbau in meiner main.cf:

smtpd_recipient_restrictions =
        check_sender_access pcre:/usr/local/etc/postfix/access_sender,  reject_non_fqdn_sender,
        reject_non_fqdn_recipient,
        reject_unknown_sender_domain,
        reject_unknown_recipient_domain,
        permit_sasl_authenticated,
        permit_mynetworks,
        reject_unlisted_recipient,
        warn_if_reject reject_unauth_pipelining,
        warn_if_reject reject_invalid_helo_hostname,
        check_policy_service inet:127.0.0.1:10023,
        warn_if_reject reject_rbl_client ix.dnsbl.manitu.net,
        warn_if_reject reject_rbl_client sbl.spamhaus.org,
        warn_if_reject reject_rbl_client xbl.spamhaus.org,
        warn_if_reject reject_rbl_client cbl.abuseat.org,
        warn_if_reject reject_rhsbl_client blackhole.securitysage.com,	  reject_unverified_recipient,
        permit_mx_backup,
        reject_unauth_destination,
        permit

In check_sender_access geht es um Einträge à la:

/^junkmail at unwanted\.tld/			HOLD

(HOLD solange, bis ich mir sicher bin, mit einem REJECT
keinen Schaden anzurichten; sind unerwünschte und von
anderen <censored> abonnierte Newsletter)

Mein Verständnisproblem liegt nun in der späten Überprüfung
reject_unauth_destination und dem empfohlenen White-/Black-
Listing ganz zu Beginn der smtpd_recipient_restrictions. Sollte
dieser Relaycheck nicht relativ weit vorne erfolgen? Öffnete ich
nicht meinen Server hinsichtlich Relaying, wenn ich bspw. in
check_sender_access ein OK vergäbe? Hmm.

Hintergrund meiner Fragen ist: Ich möchte gerne ein paar
Absenderadressen zur Sicherheit hinsichtlich gerade getesteter
RBL checks whitelisten.

Wo ist mein Denkfehler?

Schon einmal vielen Dank,
Michael

Mehr Informationen über die Mailingliste Postfixbuch-users