Postscreen-Konfiguration

Alex JOST jost+lists at dimejo.at
Di Jul 25 15:32:12 CEST 2017


Am 25.07.2017 um 15:24 schrieb Martin Steigerwald:
> Hallo.
> 
> Integration in master.cf ist für mich klar. Das Teil funktioniert auch
> bereits.
> 
> Habt ihr noch irgendwelche sinnvollen Ideen, das Teil noch strikter vorgehen
> zu lassen, ohne dass es gravierende Auswirkungen hat? Was habt ihr für
> Blacklisten. Ich hab mir dazu einige von http://www.dnsbl.info/dnsbl-list.php
> zusammengesucht, aber letztlich ist es immer so eine Frage, woran ich
> entscheide, inwiefern ich einer Liste vertraue.
> 
> 
> Hier mal meine Konfiguration in main.cf:
> 
> # Postscreen
> postscreen_access_list = permit_mynetworks,
>          cidr:/etc/postfix/postscreen_access.cidr
> postscreen_blacklist_action = drop
> postscreen_dnsbl_threshold = 4
> # http://www.dnsbl.info/dnsbl-list.php
> postscreen_dnsbl_sites = zen.spamhaus.org*2
>          bl.spamcop.net
>          dnsbl.sorbs.net
>          psbl.surriel.com
>          drone.abuse.ch
>          spam.abuse.ch
>          dnsbl.anticaptcha.net
> postscreen_dnsbl_action = enforce
> postscreen_greet_action = enforce
> #postscreen_bare_newline_action = enforce
> #postscreen_bare_newline_enable = yes
> postscreen_non_smtp_command_enable = yes
> postscreen_non_smtp_command_action = drop
> #postscreen_pipelining_enable = yes
> #postscreen_pipelining_enable = enforce
> postscreen_cache_map = lmdb:$data_directory/postscreen_cache
> 
> 
> Teilweise in Anlehnung an:
> 
> Aus Linux-Magazin 08/2011
> Christoph Wickert
> Tests und Aktionen für eingehende E-Mails
> http://www.linux-magazin.de/Ausgaben/2011/08/Spamabwehr/(offset)/6
> 
> 
> Deswegen hab ich bare_newline und pipelining_enable nicht aktiviert. Kann ich
> aber auch wieder an machen.
> 
> Ich werd mir die Detail-Erklärungen im Postscreen-Howto auch nochmal genauer
> durchlesen, aber vielleicht habt ihr noch irgendwelche Tipps.

Soweit ich das sagen kann hat zen.spamhaus.org bei uns bis jetzt keine 
falschen Treffer enthalten. Entsprechend könntest Du den Wert auf 3 oder 
sogar 4 hoch drehen.

In jedem Fall solltest Du Dir überlegen eine Whitelist wie dnswl.org zu 
benutzen. Das reduziert die Wahrscheinlichkeit von falschen Treffern 
deutlich.

-- 
Alex JOST



Mehr Informationen über die Mailingliste Postfixbuch-users