[Postfixbuch-users] Richtige postscreen-Konfiguration

Michael Koehler postfixbuch-users at makomi.de
Mo Jan 19 12:59:01 CET 2015 

Hallo,

ich versuche gerade postscreen bei mir einzubinden, aber ehrlich gesagt 
bin ich mir nicht sicher, ob die folgende Konfiguration

    a. überhaupt was bringt, oder
    b. mehr Schaden als Vorteile bringt.

Hier die bisher konfigurierte main.cf
---
postscreen_access_list              = permit_mynetworks
postscreen_pipelining_enable        = yes
postscreen_pipelining_action        = drop
postscreen_non_smtp_command_enable  = yes
postscreen_bare_newline_enable      = yes
postscreen_bare_newline_action      = drop
postscreen_greet_action             = drop
postscreen_dnsbl_action             = drop
postscreen_dnsbl_threshold          = 3
postscreen_dnsbl_sites              =
     ix.dnsbl.manitu.net,
     dsn.rfc-ignorant.org
---

und hier die master.cf
---
#smtp      inet  n       -       -       -       -       smtpd
smtp      inet  n       -       -       -       1       postscreen
smtpd     pass  -       -       -       -       -       smtpd
dnsblog   unix  -       -       -       -       0       dnsblog
tlsproxy  unix  -       -       -       -       0       tlsproxy
---

Dazu muss ich sagen, dass die auth. Clients per Submission reinkommen, 
sich also nicht behaken dürften (oder muss ich dafür explizit in der 
master.cf unter Submission alle postscreen-checks ausschalten?).
Und was die "deep protocol tests" angeht: Wie löst ihr die 
Einschränkungen von 
http://www.postfix.org/POSTSCREEN_README.html#after_220 - speziell die 
Einschränkung: "Allow "good" clients to skip tests with the 
postscreen_dnsbl_whitelist_threshold 
<http://www.postfix.org/postconf.5.html#postscreen_dnsbl_whitelist_threshold> 
feature (Postfix 2.11 and later). This is especially effective for sites 
such as Google that never retry immediately from the same IP address. " 
- gibt es dafür eine vorgefertigte Whitelist oder wie muss man die 
händig pflegen?
Und überhaupt DNSBL: Woher weiß ich welche Blacklist empfehlenswert ist 
und welche nicht? Gibt es eine Aufstellung?
Und ist es überhaupt sinnvoll die postscreen_mumble Parameter in die 
main.cf zu setzen oder sollte man das lieber gleich in die master.cf 
unter smtpd als Optionen setzen?

Viele Grüße,
Michael
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20150119/15ee66f4/attachment.html>

Mehr Informationen über die Mailingliste Postfixbuch-users