[Postfixbuch-users] Reihenfolge von Black-/Whitelisting und reject_unauth_destination in smtpd_recipient_restrictions

Michael Grimm trashcan at odo.in-berlin.de
Mo Aug 10 17:56:05 CEST 2009


Hallo -

Ralf Hildebrandt schrieb:
> * Michael Grimm <trashcan at odo.in-berlin.de>:

>> und insbesondere um die Reihenfolge der einzelnen Tests,
> von oben nach unten :)

:-)

>> smtpd_recipient_restrictions =
>>        check_sender_access pcre:/usr/local/etc/postfix/access_sender,
>>        reject_non_fqdn_sender,
>>        reject_non_fqdn_recipient,
>>        reject_unknown_sender_domain,
>>        reject_unknown_recipient_domain,
>>        permit_sasl_authenticated,
>>        permit_mynetworks,
>
> hier muss reject_unauth_destination hin

So sehe ich das auch mittlerweile. Danke für die Bestätigung.

>>        warn_if_reject reject_rbl_client ix.dnsbl.manitu.net,
>>        warn_if_reject reject_rbl_client sbl.spamhaus.org,
>>        warn_if_reject reject_rbl_client xbl.spamhaus.org,
>>        warn_if_reject reject_rbl_client cbl.abuseat.org,
>
> zusammenfassen zu "reject_rbl_client zen.spamhaus.org"

Ich wollte das pbl.spamhaus.org bewußt ausschließen; habe irgendwie ein
Diskussion im Hinterkopf, die sich um eine recht hohe False-positive- 
Rate
drehte. Vielleicht irre ich mich auch nur.

>>        permit_mx_backup,
>
> Wer braucht denn sowas?

Nun, das fand ich in Kapitel 8.8 ;-) Habe es jetzt noch einmal  
nachgelesen, und
es scheint für mich nur dann von Relevanz zu sein, wenn mein Server  
als Backup
für einen anderen diente. Habe ich wohl mit meinem Scenario (habe  
selbst MX
Backups im DNS) verwechselt. Gegenfrage: Schadet der Eintrag?  
Potentielle
Schwachstelle?

>>        reject_unauth_destination,
>
> Bissel weit unten.

Jo. Das war der Anlaß meiner Mail. Darf ich daher noch einmal meine  
neuen
angedachten smtpd_recipient_restrictions zur Diskussion stellen:

smtpd_recipient_restrictions =
#  
-------------------------------------------------------------------------
# accept RFC role accounts
#  
-------------------------------------------------------------------------
         # check_recipient_access pcre:/usr/local/etc/postfix/ 
access_recipient-rfc,
#  
-------------------------------------------------------------------------
# reject malformed mails
#  
-------------------------------------------------------------------------
         reject_non_fqdn_sender,
         reject_non_fqdn_recipient,
         reject_unknown_sender_domain,
         reject_unknown_recipient_domain,
         reject_unauth_pipelining,
         reject_invalid_helo_hostname,
#  
-------------------------------------------------------------------------
# accept our users
#  
-------------------------------------------------------------------------
         permit_sasl_authenticated,
         permit_mynetworks,
#  
-------------------------------------------------------------------------
# reject unknown recipients
#  
-------------------------------------------------------------------------
         reject_unlisted_recipient,
#  
-------------------------------------------------------------------------
# reject any relaying attempts
#  
-------------------------------------------------------------------------
         reject_unauth_destination,
         reject_unverified_recipient,
#  
-------------------------------------------------------------------------
# white- and blacklisting
#  
-------------------------------------------------------------------------
         # check_client_access pcre:/usr/local/etc/postfix/ 
access_client,
         # check_helo_access pcre:/usr/local/etc/postfix/access_helo,
         check_sender_access pcre:/usr/local/etc/postfix/access_sender,
         check_recipient_access pcre:/usr/local/etc/postfix/ 
access_recipient,
#  
-------------------------------------------------------------------------
# greylisting
#  
-------------------------------------------------------------------------
         check_policy_service inet:127.0.0.1:10023,
#  
-------------------------------------------------------------------------
# RBL
#  
-------------------------------------------------------------------------
         reject_rbl_client ix.dnsbl.manitu.net,
	(weitere RBL)
#  
-------------------------------------------------------------------------
# allow what has passed up to here
#  
-------------------------------------------------------------------------
         permit

(Die auskommentierten Checks sollen nur verdeutlichen, an welcher  
Stelle ich
sie einsetzte, sollte ich sie einmal benötigen.)

Ist das ok so oder Murks?

Vielen Dank,
Michael




Mehr Informationen über die Mailingliste Postfixbuch-users