[Postfixbuch-users] Reihenfolge von Black-/Whitelisting und reject_unauth_destination in smtpd_recipient_restrictions

Michael Grimm trashcan at odo.in-berlin.de
Mo Aug 10 17:37:12 CEST 2009 

Hallo -

Peer Heinlein schrieb:
> Am Sonntag, 9. August 2009 schrieb Michael Grimm:

>> In check_sender_access geht es um Einträge à la:
>>
>> /^junkmail at unwanted\.tld/                    HOLD
>>
>> (HOLD solange, bis ich mir sicher bin, mit einem REJECT keinen  
>> Schaden
>> anzurichten; sind unerwünschte und von anderen <censored> abonnierte
>> Newsletter)
>
> Naja, da Du ja einzelne spezielle Mailadressen sperrst dürfte das  
> Risiko aus
> Versehen jemanden zu sperren wohl eher sehr gering sein. Aus  
> irgendeinem
> Grund willst Du ja diese Absender sperren, das sind ja dann wohl nicht
> irgendwelche Adressen.

Nun. Ich habe das etwas vereinfacht dargestellt. Unter "junkmail" und
"unwanted" habe ich eigentlich etwas kompliziertere Regex im Einsatz,  
die somit
nicht eine einzelne, sondern ein paar verschiedene Absenderadressen
zusammnfassen. Ich mache das mit dem HOLD nur solange, bis ich von der
Fehlerfreiheit der Regex überzeugt bin, danach kommt ein REJECT dort  
hin.

>> Listing ganz zu Beginn der smtpd_recipient_restrictions.  Sollte  
>> dieser
>> Relaycheck nicht relativ weit vorne erfolgen? Öffnete ich nicht  
>> meinen
>> Server hinsichtlich Relaying, wenn ich bspw. in check_sender_access  
>> ein OK
>> vergäbe? Hmm.
>
> Wenn Du ein OK in den sender_access_vergibst dann ja. Ist irgendwo  
> im Buch
> auch erwähnt: HELO und SENDER nicht nicht grundsätzlich erstmal nicht
> geeignet um ein Whitelisting (!)  darauf zu machen.

Ok. Dann werde ich auf check_recipient_access für mein Whitelisting von
ausgewählten lokalen Adressen ausweichen, die keinen RBL-Checks  
zugeführt
werden sollen. Und in dieser Tabelle dann auch noch ...

> Was Du jedoch gefahrlos machen kannst ist, daß Du dort ein
> "permit_auth_destination" vergibst. Denn in den access-Map kannst Du
> prinzipiell alle Restrictions aufführen (das ist im Buch leider  
> nicht so
> deutlich erklärt).
>
> Statt eines OK (=Nimm die Mail an, egal wohin) kannst Du also ein
> "permit_auth_destination (=nimm die Mail an wenn an uns) nutzen.

... einfügen. Danke für diesen Hinweis.

Trotzdem werde ich zur Sicherheit den Relaycheck weiter nach vorne  
verfrachten.

Schönen Dank,
Michael

Mehr Informationen über die Mailingliste Postfixbuch-users