[Postfixbuch-users] Virenscan für ausgehende Mails - Wie

Ronny Seffner ronny at seffner.de
Di Feb 19 13:41:50 CET 2013


Hallo Patrick,

> Wenn ich Dich richtig verstehe, dann besteht die Aufgabe Deines Server als
> Secondary MX darin, Nachrichten für die Domains des Primary MX
> anzunehmen falls er aus welchen Gründen auch immer gerade nicht
> verfügbar ist, oder?
> 
Korrekt.

> Dann ist das Ziel IMO wichtiger als die Quelle. Ich würde in Postfix
> Nachrichten für die Domains für die Dein Server Secondary MX ist, in eine
> dedizierte Secondary policy_bank routen (z.B. über Interface Policy) und
dort
> dieselbe Filterregeln abbilden wie die des Primary, damit beide System ein
> konsistentes Verhalten gegenüber allen Clients, die an diese Domains
> senden wollen, aufweisen.
> 
Ja, das ist natürlich der perfekte Weg. Wenn ich mich noch an den Widerstand
erinnere, die Listen gültiger Empfänger automatisch zu bekommen, wird das
nochmal recht lustig.

> Was Deine Kunden angeht für die Du nicht filtern willst: Du nimmst Mail
für
> deren Domain an. Damit geht die Verantwortung für die Zustellung an den
> Empfänger an Dich bzw. Deinen Server über. Wenn der Primary die Mails, die
> Du über die Hintertür dann abgeben willst, verwirft, stehst Du blöd da.
"Sie
> hatten die Mail doch angenommen!"
>
Oh ja, Deswegen ja auch das Streben nach gleichen Policies auf allen MXen.

> ICH würde da definitiv die policies des Endkunden fahren, weil ich glaube,
> dass man sich damit im Zweifelsfall ca. 3 KG Nerven schonen kann. ;)
>
Die ganz schlimmen Fälle haben daher einen "hidden" primary, der einfach
alles frisst, was ich liefere.

> Mach die für 25 zur default policy in amavis. Für 465 machst du eine und
> routest Sender dorthin wenn (!) Du sie eindeutig identifizieren kannst.
> Dasselbe gilt für 587. Da hast Du ein stabiles Kriterium wenn Du 587 RFC-
> konform betreibst und Mail nur dann annimmst, wenn der Client sich
> erfolgreich per SMTP AUTH angemeldet hat.
>
587 RFC konform heißt:
- ausschließlich authentifiziert?
- ausschließlich TLS? (smtpd_tls_auth_only = yes wirkt;
smtpd_tls_enforce_tls offeriert auch ohne TLS AUTH)
= so ist es jetzt

Der nächste Schritt wäre AUTH oder zumindest die PLAIN-Varianten von Port 25
wegzunehmen, das müssen aber erstmal alle Kunden wissen.


Mit freundlichen Grüßen / Kind regards
     Ronny Seffner
--
Ronny Seffner  |  Alter Viehweg 1  |  01665 Klipphausen

www.seffner.de  |  ronny at seffner.de  |  +49 35245 72950





Mehr Informationen über die Mailingliste Postfixbuch-users