[Postfixbuch-users] Reihenfolge von Black-/Whitelisting undreject_unauth_destination in smtpd_recipient_restrictions

Uwe Driessen driessen at fblan.de
So Aug 9 19:15:52 CEST 2009 

On Behalf Of Michael Grimm
> Moin, moin -
> 
> Vor einem halben Jahr habe ich den Schritt von Exim nach Postfix
> durchgeführt. Habe mir das Buch gekauft und die Konfiguration
> damit vorgenommen. Alles läuft sehr zu meiner Zufriedenheit.
> 
> Ich habe nur ein prinzipielles Verständnisproblem bezüglich des
> Kapitels 8.8, in dem es um die smtpd_recipient_restrictions geht,
> und insbesondere um die Reihenfolge der einzelnen Tests, die man
> ja auch nur dann ändern solle, wenn man wisse, was man täte. Da
> ich mir diesbezüglich unsicher bin, frage ich hier ;-)
> 
> Hier mein diesbezüglicher Aufbau in meiner main.cf:

Besser ist hier ein postconf -n 

> 
> smtpd_recipient_restrictions =
>         check_sender_access pcre:/usr/local/etc/postfix/access_sender,
> reject_non_fqdn_sender,
>         reject_non_fqdn_recipient,
>         reject_unknown_sender_domain,
>         reject_unknown_recipient_domain,
>         permit_sasl_authenticated,
>         permit_mynetworks,
>         reject_unlisted_recipient,
>         warn_if_reject reject_unauth_pipelining,
>         warn_if_reject reject_invalid_helo_hostname,
>         check_policy_service inet:127.0.0.1:10023,
>         warn_if_reject reject_rbl_client ix.dnsbl.manitu.net,
>         warn_if_reject reject_rbl_client sbl.spamhaus.org,
>         warn_if_reject reject_rbl_client xbl.spamhaus.org,
>         warn_if_reject reject_rbl_client cbl.abuseat.org,
>         warn_if_reject reject_rhsbl_client blackhole.securitysage.com,
> reject_unverified_recipient,
>         permit_mx_backup,
>         reject_unauth_destination,
>         permit
> 
> In check_sender_access geht es um Einträge à la:
> 
> /^junkmail at unwanted\.tld/			HOLD
> 
> (HOLD solange, bis ich mir sicher bin, mit einem REJECT
> keinen Schaden anzurichten; sind unerwünschte und von
> anderen <censored> abonnierte Newsletter)

Ein sauberes reject macht weniger schaden wie eine vergessene Mail in der Holdqueue.
Die Frage ist wie ist die Policy für den Server?
Eigentlich gibt es nur annehmen oder ablehnen (aus welchem Grund auch immer) alles andere
ist eigentlich Flickwerk am Problem vorbei. 

> 
> Mein Verständnisproblem liegt nun in der späten Überprüfung
> reject_unauth_destination und dem empfohlenen White-/Black-
> Listing ganz zu Beginn der smtpd_recipient_restrictions. Sollte
> dieser Relaycheck nicht relativ weit vorne erfolgen? Öffnete ich
> nicht meinen Server hinsichtlich Relaying, wenn ich bspw. in

Nö eigentlich nicht 


> check_sender_access ein OK vergäbe? Hmm.


Ein Ok bekommt nur der den ich auf mehrere Arten eindeutig identifizieren kann (z.B. feste
IP) 

> 
> Hintergrund meiner Fragen ist: Ich möchte gerne ein paar
> Absenderadressen zur Sicherheit hinsichtlich gerade getesteter
> RBL checks whitelisten.

Und wo ist das Problem? kennst du den Server, weist du das dieser Server für dich sicher
ist, willst du dessen Mails haben dann bleibt dir kein anderer Weg wie diesen vor den
RBL's mit OK anzunehmen. ( da deine RBL's aber alle nur mit warn_if_reject laufen werden
diese Server eh nicht abgelehnt)


> 
> Wo ist mein Denkfehler?
> 

Bei Postfix nicht um die Ecke denken sondern einfach und logisch der Reihe nach genau so
arbeitet Postfix.


Mit freundlichen Grüßen

Drießen

-- 
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert
Tel.: +49 06708 / 660045   Fax: +49 06708 / 661397

Mehr Informationen über die Mailingliste Postfixbuch-users