[Postfixbuch-users] Reihenfolge von Black-/Whitelistingundreject_unauth_destination in smtpd_recipient_restrictions

Uwe Driessen driessen at fblan.de
Mo Aug 10 18:25:02 CEST 2009


On Behalf Of Michael Grimm
> Uwe Driessen schrieb:
> > On Behalf Of Michael Grimm
> 
> >> Mein Verständnisproblem liegt nun in der späten Überprüfung
> >> reject_unauth_destination und dem empfohlenen White-/Black- Listing
> >> ganz zu
> >> Beginn der smtpd_recipient_restrictions. Sollte dieser Relaycheck
> >> nicht
> >> relativ weit vorne erfolgen? Öffnete ich nicht meinen Server
> >> hinsichtlich
> >> Relaying, wenn ich bspw. in
> >
> > Nö eigentlich nicht
> >
> >> check_sender_access ein OK vergäbe? Hmm.
> >
> > Ein Ok bekommt nur der den ich auf mehrere Arten eindeutig
> > identifizieren
> > kann (z.B. feste IP)
> 
> Hmm. Aber kann man sich denn sicher sein, daß ein derart einmal als
> Goodguy
> identifizierter Absender nicht irgendwann einmal zum Badguy mutiert
> oder sein
> Server von Spammern übernommen wird? Ok, das war jetzt ein Worst-Case-
> Scenario.

Wenn das passiert MUSST du was ändern!

> 
> Der Hintergrund meiner Verunsicherung liegt eigentlich darin
> begründet, daß das
> Beispiel im Buch den Relaycheck erst ganz zum Schluß macht, und dann
> auch noch
> darauf hingewiesen wird, daran nur dann etwas zu ändern, wenn man
> wisse, was
> man täte. Als Anfänger blicke ich nicht auf Anhieb durch, welches OK

Mal als Beispiel meine restriktionen mit dem Hinweis die passen genau auf meinem Server
und mit großer Wahrscheinlichkeit auf keinem 2. Server. Reingesteckte Arbeit ca. 6 Monate
mit täglichem Studium der Log's in der Zwischenzeit schaue ich da nur noch in die
logfileauswertung und nue bei Auffälligkeiten in die logfiles. 

Wann welcher check auf deinem Server kommen muß und welche Restriktionen du einsetzt legst
du mit deiner Policy für den Server fest.

smtpd_recipient_restrictions =
   reject_unknown_sender_domain,
   reject_unknown_recipient_domain,
   permit_mynetworks,
   reject_unlisted_recipient,
   reject_non_fqdn_sender,
   reject_non_fqdn_recipient,
#   reject_sender_login_mismatch,
   reject_unlisted_sender,
   permit_sasl_authenticated,
#   reject_unauthenticated_sender_login_mismatch,
   reject_unauth_destination,
   check_recipient_access hash:/etc/postfix/adress_maps/kuendigt,
   check_sender_access  pcre:/etc/postfix/checks/sender_checks.pcre,
   sleep 1,
#   check_client_access pcre:/etc/postfix/maps/dynip.pcre,
#   check_helo_access pcre:/etc/postfix/helo_checks,
#   check_helo_access hash:/etc/postfix/maps/helo_check,
   check_recipient_access hash:/etc/postfix/maps/empfaenger,
   reject_invalid_helo_hostname,
   reject_non_fqdn_helo_hostname,
#   reject_unknown_reverse_client_hostname,
   check_sender_mx_access cidr:/etc/postfix/maps/bogus_mx,
   check_sender_mx_access hash:/etc/postfix/maps/wildcard_mx,
   check_sender_access hash:/etc/postfix/maps/access,
   check_sender_ns_access hash:/etc/postfix/maps/bogus_dns,
   check_sender_access hash:/etc/postfix/checks/check_backscatterer,
   check_client_access pcre:/etc/postfix/maps/dialups.grey,
   check_recipient_access hash:/etc/postfix/roleaccount,
## policyd weight 
   check_policy_service inet:127.0.0.1:12525,
   reject_rbl_client zen.spamhaus.org,
   reject_rbl_client ix.dnsbl.manitu.net

und kein copy und paste das geht in die Hose.
Alle Restriktionen kann du auf http://www.postfix.org/postconf.5.html nachlesen 
Die mit # gekennzeichneten sind nur im speziellen zu empfehlen.

Hast du keine Probleme dann wirst du viele der checks nicht benötigen.
Hast du ein spezielles Problem dann zeige das Problem anhand der logs es gibt fast für
alles eine Lösung / Restriktionen. 

 
> Wie gerade beschrieben. Ja, derzeit kann ich diesen Servern vertrauen,
> aber
> auch in Zukunft? Ich kann meinen Server nicht rund um die Uhr
> überwachen;
> vielleicht bin ich ja auch nur etwas paranoid ;-) Ich werde also
> sicherheitshalber den Relaycheck vor dem Whitelisting durchführen.

*gg nichts währt ewig, lebenslänglich  sind in der Regel auch nur 20 Jahre (von der Ehe
mal abgesehen das kann wirklich eine lebenslange strafe sein*gg)

Gibt es Probs musst du was ändern egal in welcher Richtung. Ist einer auf einer
eingesetzten RBL drauf und du willst ihn dennoch haben dann Ausnahme, baut der scheiß dann
reject.
Aber was machst du dir Gedanken über das was irgendwann mal sein wird? Jetzt und Heute
musst du eine Entscheidung so oder so vorzugehen treffen und ob das richtig war siehst du
wenn das Licht angeht (oder so ähnlich war der Spruch) 



Mit freundlichen Grüßen

Drießen

-- 
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert
Tel.: +49 06708 / 660045   Fax: +49 06708 / 661397





Mehr Informationen über die Mailingliste Postfixbuch-users