[Postfixbuch-users] Postscreen HowTo

Christian Roessner c at roessner-network-solutions.com
Di Feb 8 16:02:53 CET 2011


>>> wie kann man eigentlich verhindern, dass Postscreen bei
>>> authentifizierten Usern (Sendern) "zuschlägt"? Ich habe
>>> manchmal diese Meldung beim Senden über den Mailclient
>>> (Thunderbird). Siehe Anhang.
>> 
>> Gar nicht. Die müssen über z.B. submission gehen
>> 
> 
> echt? Das ist ja dumm .. :-/

Tipp: 2te IP spendieren und 25/587 für Mailout in master.cf _ohne_ postscreen definieren. Das bringt sowieso 10.000 Vorteile, weil Du dann sauber MTA-MTA und MUA-MTA Kommunikation trennen kannst.

Beispiel (ACHTUNG. Bei mir laufen Dienste in chroot!!!!! Das muss nicht sein):

###########
#
# ==========================================================================
# service type  private unpriv  chroot  wakeup  maxproc command + args
#               (yes)   (yes)   (yes)   (never) (100)
# ==========================================================================
smtp       inet  n       -       -       -       1       postscreen
smtpd      pass  -       -       -       -       -       smtpd
    -o smtp_bind_address=::1
    -o smtpd_proxy_filter=[::1]:10024
    -o smtpd_proxy_options=speed_adjust
    -o smtpd_client_connection_rate_limit=5
    -o smtpd_client_message_rate_limit=5
    -o smtpd_client_recipient_rate_limit=30
dnsblog   unix  -        -      -       -       0       dnsblog
tlsproxy  unix  -       -       -       -       0       tlsproxy

... was auch immer noch ...

lmtp-amavis unix -      -       -       -       10      lmtp
    -o lmtp_data_done_timeout=1200
    -o disable_dns_lookups=yes
    -o max_use=20

# Return path (smtpd_proxy_filter)
[::1]:10025 inet n - - - - smtpd
    -o syslog_name=postfix-10025
    -o smtpd_authorized_xforward_hosts=[::1]/128
    -o smtpd_client_restrictions=
    -o smtpd_helo_restrictions=
    -o smtpd_sender_restrictions=
    -o smtpd_recipient_restrictions=${proxy_smtpd_recipient_restrictions}
    -o smtpd_data_restrictions=reject_unauth_pipelining
    -o mynetworks=[::1]/128
    -o receive_override_options=no_unknown_recipient_checks
    -o smtpd_command_filter=
    -o local_header_rewrite_clients=

# Return path (content_filter)
[::1]:10125 inet n - - - - smtpd
    -o syslog_name=postfix-10125
    -o smtpd_authorized_xforward_hosts=[::1]/128
    -o smtpd_client_restrictions=
    -o smtpd_helo_restrictions=
    -o smtpd_sender_restrictions=
    -o smtpd_recipient_restrictions=permit_mynetworks,reject
    -o smtpd_data_restrictions=reject_unauth_pipelining
    -o mynetworks=[::1]/128
    -o receive_override_options=no_unknown_recipient_checks,no_header_body_checks
    -o smtpd_command_filter=
    -o local_header_rewrite_clients=

127.0.0.1:smtp inet n - - - - smtpd
    -o content_filter=lmtp-amavis:[::1]:10024
    -o smtpd_recipient_restrictions=permit_mynetworks,reject

[::1]:smtp inet n - - - - smtpd
    -o content_filter=lmtp-amavis:[::]:10024
    -o smtpd_recipient_restrictions=permit_mynetworks,reject

11.22.33.44:smtp inet n - - - - smtpd
    -o myhostname=mein.schoener.dns.name
    -o content_filter=lmtp-amavis:[::1]:10026
    -o smtpd_sasl_auth_enable=yes
    -o smtpd_tls_cert_file=......
    -o smtpd_tls_key_file=......
    -o smtpd_recipient_restrictions=${authenticated_smtpd_recipient_restrictions}

11.22.33.44:submission inet n - - - - smtpd
    -o myhostname=mein.schoener.dns.name
    -o content_filter=lmtp-amavis:[::1]:10026
    -o smtpd_sasl_auth_enable=yes
    -o smtpd_tls_cert_file=......
    -o smtpd_tls_key_file=......
    -o smtpd_tls_security_level=encrypt
    -o smtpd_recipient_restrictions=${authenticated_smtpd_recipient_restrictions}

# vim: expandtab ts=4 sw=4 syn=master.cf
###########

main.cf:
###########
authenticated_smtpd_recipient_restrictions =
    reject_non_fqdn_recipient,
    reject_non_fqdn_sender,
    reject_unknown_recipient_domain,
    reject_unknown_sender_domain,
    permit_mynetworks,
    permit_sasl_authenticated,
    reject
###########

Das ist nur ein Beispiel.

Grüße
Christian

---
Roessner-Network-Solutions
Bachelor of Science Informatik
Nahrungsberg 81, 35390 Gießen
F: +49 641 5879091, M: +49 176 93118939
USt-IdNr.: DE225643613
http://www.roessner-network-solutions.com

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : PGP.sig
Dateityp    : application/pgp-signature
Dateigröße  : 495 bytes
Beschreibung: Signierter Teil der Nachricht
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20110208/51762abb/attachment.sig>


Mehr Informationen über die Mailingliste Postfixbuch-users