[Postfixbuch-users] DISCARD bei Verwendung von smtpd_proxy_filter nicht verfügbar - Alternativen?

Christian Garling christian.garling at cg-networks.de
Mi Apr 16 14:28:14 CEST 2014 

Hallo,

Am 16.04.2014 14:05, schrieb Peer Heinlein:
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
>
> Am 16.04.2014 13:53, schrieb Christian Garling:
>
>
>
> Siehe Anhang.
so sehen meine im Grunde auch aus (in Anlehnung an das Quota Kapitel aus 
dem Dovecot Buch):

smtpd_recipient_restrictions =
                         # role accounts (abuse and postmaster)
                                 check_recipient_access 
hash:/etc/postfix/access_maps/role_accounts,
                         # whitelists / blacklists
                                 check_client_access 
hash:/etc/postfix/access_maps/hostname,
                                 check_client_access 
cidr:/etc/postfix/access_maps/ip.cidr,
                                 check_helo_access 
hash:/etc/postfix/access_maps/helo,
                                 check_helo_access 
pcre:/etc/postfix/access_maps/helo.pcre,
                                 check_sender_access 
hash:/etc/postfix/access_maps/sender,
                                 check_recipient_access 
hash:/etc/postfix/access_maps/recipient,
                         # reject non-compliant mails
                                 reject_non_fqdn_sender,
                                 reject_non_fqdn_recipient,
                                 reject_unknown_sender_domain,
                                 reject_unknown_recipient_domain,
                                 reject_invalid_hostname,
                         # permit local users
                                 permit_sasl_authenticated,
                                 permit_mynetworks,
                         # reject non-final-destination mails
                                 reject_unauth_destination,
                         # policyd-weight
                                 check_policy_service inet:127.0.0.1:12525,
                         # postgrey
                                 check_policy_service inet:127.0.0.1:10023,
                         # dynamic recipient verification
                                 reject_unverified_recipient,
                         # reject unauthenticated pipelining
                                 reject_unauth_pipelining,
                         # check quota status of dovecot users
                                 check_policy_service inet:127.0.0.1:12340,
                         # permit anything else
                                 permit

Was mir aber gerade nicht klar ist, wie ich sauber erreiche, dass die 
smtpd_recipient_restrictions NACH dem smtpd_proxy_filter gecheckt werden?

Auszug aus der master.cf wie es aktuell aussieht:

smtp      inet  n       -       n       -       -       smtpd
         -o smtpd_proxy_filter=127.0.0.1:10024
         -o content_filter=
         -o smtpd_sasl_auth_enable=no

# from amavis to postfix (reinjection)
127.0.0.1:10025 inet n    -       n       -       -     smtpd
      -o content_filter=
      -o smtpd_delay_reject=no
      -o smtpd_client_restrictions=permit_mynetworks,reject
      -o smtpd_helo_restrictions=
      -o smtpd_sender_restrictions=
      -o smtpd_recipient_restrictions=permit_mynetworks,reject
      -o smtpd_data_restrictions=reject_unauth_pipelining
      -o smtpd_end_of_data_restrictions=
      -o smtpd_restriction_classes=
      -o mynetworks=127.0.0.0/8
      -o smtpd_error_sleep_time=0
      -o smtpd_soft_error_limit=1001
      -o smtpd_hard_error_limit=1000
      -o smtpd_client_connection_count_limit=0
      -o smtpd_client_connection_rate_limit=0
      -o 
receive_override_options=no_header_body_checks,no_unknown_recipient_checks,no_milters
      -o local_header_rewrite_clients=
      -o smtpd_milters=
      -o local_recipient_maps=
      -o relay_recipient_maps=

Laut den Empfehlungen würde ich nun intuitiv folgendes machen:

Den smtp Eintrag um -o smtpd_recipient_restrictions= ergänzen, damit 
hier erstmal nichts passiert, außerdem aus 127.0.0.1:12025 den Eintrag 
-o smtpd_recipient_restrictions=permit_mynetworks,reject entfernen, 
damit meine Checks aus der main.cf gelten. Wäre das das richtige 
Vorgehen? Fehlt noch etwas oder ist das der komplett falsche Ansatz?

>
> Peer
Christian
>
>
> - -- 
> Heinlein Support GmbH
> Schwedter Str. 8/9b, 10119 Berlin
>
> http://www.heinlein-support.de
>
> Tel: 030 / 405051-42
> Fax: 030 / 405051-19
>
> Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht
> Berlin-Charlottenburg,
> Geschäftsführer: Peer Heinlein -- Sitz: Berlin
> -----BEGIN PGP SIGNATURE-----
> Version: GnuPG v2.0.22 (GNU/Linux)
> Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/
>
> iQEcBAEBAgAGBQJTTnIaAAoJEAOLLpq5E82HH3oIALxakPLHMnppCWqGRkGjxrhM
> RErlHr8B4y+2hoc5JsBbZ4IUitEdw4CKh4UAcHtyeO6Bxcs2TaRwdWiwMzeeZf+S
> uVaa0QfBoK/jiJOo94vWzj/eeuhUr2wn6QOozf0Ndyk8ILd7Hlic4Blxx36aPe1W
> M6AumqHvGVVTeVCyhsm3znBtSgGhvtqgrNGjucxY4+rDlLtNRZEa9NFr9J3d2S2a
> fDxs/w2pe7lzi4uSTBa5nLFf0Y496on+72AY+I86JNJ2w/fb1Oia/AvQ8Py5u6gM
> boOeVooyT2LzpuiCev5QoeBMUvKYwdOL7OIXB988/VUdrVeo+uC3ZVwpmkZg1+8=
> =OROZ
> -----END PGP SIGNATURE-----
>
>

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20140416/40a9bf20/attachment.html>

Mehr Informationen über die Mailingliste Postfixbuch-users