[Postfixbuch-users] welche blacklists?

Kai Fürstenberg kai_postfix at fuerstenberg.ws
Do Okt 29 13:05:06 CET 2009 

Norbert Gerhards schrieb am 29.10.2009 12:12:
>> Gegen Spam hab ich mittlerweile reject_sender_login_mismatch mit drin. 
>> Allein das hält mir mal eben 30-50% des Spams ab. Ob das bei anderen 
>> auch so viel ausmacht, oder ob diese Einstellung für andere Systeme 
>> sinnvoll ist, sei jetzt mal dahingestellt.

> Setzt Du es zusätzlich zu oder anstelle der ganzen sonstigen
> Checks a la access_sender, access_recipient, access_client,
> access_helo ein?

zusätzlich ziemlich weit vorne.

> Und musst Du dann nicht in einer
> smtpd_sender_login_map
> Deine sämtlichen Mail-empfangenden und -sendenden User mit all
> ihren Aliases noch mal auflisten/pflegen? Z. B.
> n.gerhards at example.com	OK
> gerhards at example.com	OK
> ger at example.com		OK
> ng at example.com		OK
> ger			OK
> @example.com		OK

Bei mir läuft alles SQL-basiert mit virtuellen usern. Da ich natürlich 
auch die ganzen aliases mit einbauen und mit den mailboxen kombinieren 
muss usw, ist die Abfrage entsprechend kompliziert mit mehreren LEFT 
JOINs und UNION SELECT usw. 523 Zeichen ist die lang.

> Dieser Check müsste dann auch ganz weit oben in einer
> smtpd_sender_restriction
> stehen, noch vor allen
> smtpd_recipient_restrictions?

das kommt jetzt darauf an:
Hast du smtpd_delay_reject=yes (default), brauchst du dir darüber schon 
mal keine Sorgen machen, denn du packst alles in 
smtpd_recipient_restrictions, gerade in der Reihenfolge, die du 
brauchst. Sämtliche Tests werden eh erst dort abgearbeitet.

Da ich aber noch einen kleinen Sleep und einen reject_unauth_pipelining 
drin habe, den ich bereits ganz zu Anfang geprüft haben möchte, habe ich 
smtpd_delay_reject=no gesetzt. In diese Falle sind auch schon ein paar 
reingefallen... Insofern prüfe ich den Login bei den sender_restrictions.

Der größte Teil der checks wird aber wie üblich bei den 
recipient_restrictions geprüft, auch die fehlerhaften HELOs, unbekannte 
Client Names und was man sonst noch alles prüfen kann. Da kommt man am 
wenigsten durcheinander. Du kannst also auch bei smtpd_delay_reject=no 
immer noch alles in die smtpd_recipient_restrictions reinsetzen. Das ist 
üblich, empfohlen und gut so.

Kurz: Packe alle deine Restriktionen nach smtpd_recipient_restrictions, 
in einer logischen Reihenfolge und du hast keine Probleme.

-- 
Kai Fürstenberg

PM an: kai at fuerstenberg punkt ws

Mehr Informationen über die Mailingliste Postfixbuch-users