Whitelisting per smtp_*_restrictions

Gerald Galster list+postfixbuch at gcore.biz
Do Dez 5 11:20:11 CET 2019 

> ich versuche gerade, die Flut an Spam etwas einzudämmen, aber die restriktiveren Einstellungen blockieren auch erwünschte E-Mails. Bisher bin ich mit Greylisting gut gefahren, aber das reicht inzwischen nicht mehr. Für bestimmte Clients und Sender möchte ich die schärferen Einstellungen umgehen, aber irgendwie klappt das mit dem Whitelisting nicht so, wie ich mir das vorgestellt habe:
> 
> smtpd_recipient_restrictions =
>     permit_mynetworks,
>     permit_sasl_authenticated,
>     reject_non_fqdn_recipient,
>     reject_unauth_destination,
>     reject_unlisted_recipient,
>     check_client_access mysql:/etc/postfix/conf/wl_clients.cf,
>     check_client_access mysql:/etc/postfix/conf/bl_clients.cf,
>     check_client_access cidr:/etc/postfix/conf/postfix_client_access.cidr,
>     check_sender_access mysql:/etc/postfix/conf/wl_sender_common.cf,
>     check_sender_access mysql:/etc/postfix/conf/whitelist_users.cf,
>     check_sender_access mysql:/etc/postfix/conf/bl_sender_common.cf,
>     check_sender_access pcre:/etc/postfix/conf/bl_sender_common.pcre,
>     check_policy_service inet:192.168.164.1:10023,
>     check_policy_service unix:private/policyd-spf,
>     check_policy_service inet:192.168.164.1:12525
> 
> In der Tabelle zu mysql:/etc/postfix/conf/wl_clients.cf habe ich z. B. den Eintrag ".t-online.de OK" und bin davon ausgegangen, daß die weitere Prüfung für <client=mailout12.t-online.de[194.25.134.22]> damit beendet ist. Trotzdem geht die E-Mail noch an den policyd-weight, der sie dann blockiert hat. Wie kann ich es einrichten, daß per default die Mails mit policyd-weight geprüft werden und die weißgelisteten nicht? Seltsamerweise funktionieren REJECTS in den Blacklists ohne Probleme, nutze ich das falsche Schlüsselwort?



parent_domain_matches_subdomains (default: see postconf -d output)
       A list of Postfix features where the pattern "example.com" also matches subdomains of example.com, instead of requiring an explicit ".example.com" pattern.  This is planned backwards compatibility:  eventually, all Postfix features are expected to require explicit ".example.com" style patterns when you really want to match subdomains.

...

       Postfix version 1.1 and later
              qmqpd_authorized_clients, smtpd_access_maps,



EMAIL ADDRESS PATTERNS
 .domain.tld
              Matches subdomains of domain.tld, but only when the string smtpd_access_maps is not listed in the Postfix parent_domain_matches_subdomains configuration setting.
              
 
[root at r1 ~]# postconf -d | grep parent_domain_matches_subdomains
parent_domain_matches_subdomains = debug_peer_list,fast_flush_domains,mynetworks,permit_mx_backup_networks,qmqpd_authorized_clients,relay_domains,smtpd_access_maps

Wie sieht das bei Dir aus?

Viele Grüße
Gerald


-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20191205/b19cb4b6/attachment-0001.html>

Mehr Informationen über die Mailingliste Postfixbuch-users