IP Adresse beim initialen Kontakt blocken

Patrick Ben Koetter p at sys4.de
Mo Nov 2 13:46:25 CET 2020


Frank,

* Frank Kirschner <postfixbuch-users at listen.jpberlin.de>:
> Hallo zusammen,
> 
> Ich haben mir eine eigene DNS RBL aufgebaut, welche ich derzeit unter
> 
> smtpd_recipient_restrictions = .... reject_rbl_client rbl.intern, ...
> 
> nutze. Nun möchte ich die RBL aber schon beim initialen Kontakt, egal ob
> über SMTP oder Submission abweisen.
> Wäre da die Einbindung in smtpd_helo_restrictions der richtige Ort? Also:

noch früher kommen in der Session die smtpd_client_restrictions zum Zuge,
aber, die Frage ist IMO welche Ziele Du mit der RBL verfolgen möchtest.

Wenn Du einfach blocken willst, dann nutze die IPs in einer Firewall-Regel,
denn dann dringen sie nicht bis zur Applikation durch.

Wenn Du sie in der Applikation blocken willst, dann bietet die Gruppe der
Connection Filter mit den postscreen-Mechanismen den frühesten Zeitpunkt.

Dann kommen die Session-Filter und Du kannst mit smtpd_client_restrictions am
ehesten blocken. Innerhalb der Gruppe kommen dann die weiteren
smtpd_$PHASE_restrictions, wobei $PHASE je einem weiteren Schritte in der
SMTP-Kommunikation zwischen Client und Server entspricht.

Dann sind MILTER-Programme dran von denen Du die Liste ggf. in rspamd oder
amavis einbinden könntest und zuletzt die Content Filter Gruppe.

Es hängt von Deinen Zielen ab. Je früher Du blockst, desto weniger Last für
den Server und Service. Je später, desto mehr zusätzliches Wissen können
Server und Services sammeln und so möglicherweise eine bessere Entscheidung
treffen.

Grüße

p at rick

-- 
[*] sys4 AG

https://sys4.de, +49 (89) 30 90 46 64
Schleißheimer Straße 26/MG,80333 München

Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer, Wolfgang Stief
Aufsichtsratsvorsitzender: Florian Kirstein



Mehr Informationen über die Mailingliste Postfixbuch-users