[Postfixbuch-users] Postfix - Black/Whitelist per Domain

Basti traced at xpear.de
Mo Aug 9 21:47:50 CEST 2010


Am 08.08.2010 22:24, schrieb Peer Heinlein:
> Am Sonntag, 8. August 2010 10:25:19 schrieb Basti:
>
> Moin,
>
>> habt Ihr ne Idee wie ich in Postfix am besten Black- und Whitelists
>>   per Empfängerdomain umsetzen könnte?
>
> Wenn es per Empfängerdomain unterschiedlich sein soll, dann gibt es drei
> Möglichkeiten:
>
> a) restriction_classes (skaliert schlecht)
> b) Amavis (finde ich klasse)
> c) Einen passenden Policyd-Dämon (nutze ich nicht, denn ich habe ja
> Amavis)
>
> Peer
>
>

Hallo Peer,
vielen Dank für die Mail. Ich denke es wird bei mir leider auf 
restriction_classes rauslaufen, da das Ganze schon vor Amavis passieren 
muss. Amavis läuft auch auf den Kisten (pre-queue und so *g).

Es geht mir hier z.B. drum, dass manche Empfänger Mails von Mailservern 
kriegen, die einfach z.B. einen vermatschten ehlo/helo schicken, oder 
sonstwie vermurkst nicht an policyd-weight vorbeikommen. Wenn ich hier 
eine Domain whiteliste, möchte ich natürlich nicht dass das für alle 
Empfängerdomains gilt.

Auch hatte ich immer das Problem, wenn ich die Whitelist relativ weit 
oben (wie in Deinem Buch beschrieben) setze, dass dann am Ende z.B. 
Adress-Verify nicht mehr greift, sondern einfach alle Mails durchgehen, 
und im dümmsten Fall bouncen.

Sieht mmt. so aus:

smtpd_recipient_restrictions =
# Eigene Nutzer/Server erlauben
         permit_sasl_authenticated,
         permit_mynetworks,
# Relaying verbieten wenn nicht für Domain zuständig
         reject_unauth_destination,
# Postmaster, abuse und andere Role-Accounts whitelisten
         check_recipient_access hash:/etc/postfix/access_recipient-rfc,
# White- und Blacklisting
         check_client_access hash:/etc/postfix/access_client,
         check_client_access cidr:/etc/postfix/access_3cats,
         check_helo_access hash:/etc/postfix/access_helo,
         check_sender_access hash:/etc/postfix/access_sender,
         check_recipient_access hash:/etc/postfix/access_recipient,
# Keine unsauberen Mails annehmen
         reject_non_fqdn_sender,
         reject_non_fqdn_recipient,
         reject_unknown_sender_domain,
         reject_unknown_recipient_domain,
         reject_unauth_pipelining,
         reject_unlisted_recipient,
         reject_invalid_hostname,
         reject_invalid_helo_hostname,
         reject_non_fqdn_helo_hostname,
# policyd-weight
         check_policy_service inet:127.0.0.1:12525,
# prüfung ob absender dynamisch aussieht, selektives greylisting
         check_client_access regexp:/etc/postfix/check_client_fqdn,
# dynamische Prüfung ob Empfängeradresse existent
         reject_unverified_recipient,
# der Rest darf durch ;)
         permit


Grüsse,
Basti



Mehr Informationen über die Mailingliste Postfixbuch-users