[ext] Re: IP Adresse beim initialen Kontakt blocken

[fk+postfix at celebrate.de]

Am 02.11.2020 um 14:00 schrieb Ralf Hildebrandt:

> * Patrick Ben Koetter<p at sys4.de>:
>> Dann kommen die Session-Filter und Du kannst mit smtpd_client_restrictions am
>> ehesten blocken. Innerhalb der Gruppe kommen dann die weiteren
>> smtpd_$PHASE_restrictions, wobei $PHASE je einem weiteren Schritte in der
>> SMTP-Kommunikation zwischen Client und Server entspricht.
> Aber Vorsicht: Wegen
>
> smtpd_delay_reject = yes (default)
>
> werden alle Rejects in der RCPT TO: Phase gemacht.
>
>> Es hängt von Deinen Zielen ab. Je früher Du blockst, desto weniger Last für
>> den Server und Service. Je später, desto mehr zusätzliches Wissen können
>> Server und Services sammeln und so möglicherweise eine bessere Entscheidung
>> treffen.
> Stimmt. Die Option "smtpd_delay_reject" ist damals entstanden, weil
> bei uns ein irrer Server kein frühes "nein" als Antwort akzeptieren
> wollte...
>
Vielen Dank für die Hinweise und lehrreiche Diskussion an Euch.
Wie gesagt, aktuell blocke ich per iptables . Über meine eigene DNS RBL 
kann ich in der gebouncten Email
einen Hinweis mitgeben, falls es sich um ein falsch positiv handelt (ist 
bis jetzt seit einem Jahr noch nicht vorgekommen)
Das würde ich gern nutzen wollen.

In den iptables würde ich dann ein limit mit angeben (

|connlimit --connlimit-above 10|

), ab wann auf IP Ebene geblockt wird (für irre Server ;-))

Auf Grund von Ralf's Hinweis ( smtpd_delay_reject = yes (default) ) und 
der Annahme, dass es sich nicht um mehr als 10

Verbindungen von der gleichen IP handelt, könnte ich die Prüfung wohl 
auch in den smtpd_recipient_restrictions belassen?

Viele Grüße,
Frank

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20201103/e92be02b/attachment.htm>