Sandy Drobic schrieb:
Christian Westendorf wrote:
Poste doch mal die Ausgabe von "postconf -n", dann kann man schon eher sehen, wie dein Mailserver konfiguriert ist, und was optimiert werden kann.
Sandy
Also definitiv kein Spam der von meinem Server kommt?
Nein, er wurde ZU deinem Server geschickt. Leider ist es so, dass die Adressensammler inzwischen sehr fleissig sind und alle Adressen bespammen, die sie über Web-Archive etc. finden können.
Hier mal eine präzise Analyse, die hoffentlich die Verwirrung beendet:
Received:from 81.169.179.149
Der sendende Server hat sich selbst als "81.169.179.149" ausgegeben in der HELO-Phase, eine übliche Spammermethode. Dies kannst du unterbinden, siehe unten.
(unknown [218.11.202.115])
Postfix hat jedoch festgestellt, dass der Sender mit der IP 218.11.202.115 keinen Reverse-DNS Eintrag hat und bezeichnet ihn deshalb als "unknown".
by server01.deronlineshop.de (Postfix) with SMTP id 0752F510008; Thu, 22
empfangen von deinem Server mit Queue-ID und Zeit.
Deine Konfig ist nach erstem Anschein kein Problem und nicht als Relay missbrauchbar. Es gibt einen Punkt, der da noch vielleicht geklärt werden sollte, und das ist, ob Postfix Mails an nicht existierende Empfänger korrekt ablehnt.
katgar:~ # telnet server01.deronlineshop.de 25 Trying 81.169.179.149... Connected to server01.deronlineshop.de. Escape character is '^]'. 220 server01.deronlineshop.de ESMTP Postfix ehlo japantest.homelinux.com 250-server01.deronlineshop.de 250-PIPELINING 250-SIZE 10240000 250-VRFY 250-ETRN 250-AUTH PLAIN LOGIN 250-AUTH=PLAIN LOGIN 250 8BITMIME mail from:
250 Ok rcpt to: 450 : User unknown in local recipient table quit Okay, fast gut, jetzt muss nur noch der Reject Code auf 550 gesetzt werden.
Schöner wäre es auch, wenn erst nach einer verschlüsselten Verbindung Benutzername und Passwort geschickt würden.
Ich werde mal einige Verbesserungen hereinschreiben. Bitte bedenke, dass die Änderungen erst nach einem "postfix reload" übernommen werden!
Ausgabe "postconf -n" :
alias_maps = hash:/etc/aliases broken_sasl_auth_clients = yes canonical_maps = hash:/etc/postfix/canonical command_directory = /usr/sbin config_directory = /etc/postfix content_filter = daemon_directory = /usr/lib/postfix debug_peer_level = 2 defer_transports = disable_dns_lookups = no inet_interfaces = all mail_owner = postfix mail_spool_directory = /var/mail mailbox_command = mailbox_size_limit = 0 mailbox_transport = mailq_path = /usr/bin/mailq manpage_directory = /usr/share/man masquerade_classes = envelope_sender, header_sender, header_recipient masquerade_domains = masquerade_exceptions = root message_size_limit = 10240000 mydestination = $myhostname, localhost.$mydomain myhostname = server01.deronlineshop.de
Hier würde ich noch einfügen:
mynetworks = 81.169.179.149, 127.0.0.0/8
Postfix setzt, wenn der Parameter nicht manuell gesetzt wird, das gesamte Subnetz der IP in mynetworks, eventuell können so benachbarte IPs deinen Server als Relay missbrauchen. Es müssen alle IPs hier drin stehen, denen Postfix als Relay zur Verfügung stehen soll.
newaliases_path = /usr/bin/newaliases program_directory = /usr/lib/postfix queue_directory = /var/spool/postfix readme_directory = /usr/share/doc/packages/postfix/README_FILES relayhost = relocated_maps = hash:/etc/postfix/relocated sample_directory = /usr/share/doc/packages/postfix/samples sender_canonical_maps = hash:/etc/postfix/sender_canonical sendmail_path = /usr/sbin/sendmail setgid_group = maildrop smtp_sasl_auth_enable = no smtp_use_tls = no
smtp_use_tls = yes Dann sendet Postfix verschlüsselt, wenn der empfangende Server dies anbietet.
smtpd_client_restrictions =
smtpd_client_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination, reject_rbl_client relays.ordb.org, reject_rbl_client list.dsbl.org, reject_rbl_client sbl-xbl.spamhaus.org
reject_rbl_client: drei Blacklists, die konservativ geführt werden und bisher bei mir keine erwünschten Server abgewiesen haben (Ausnahme: list.dsbl.org hatte GMX auf der Blacklist, als GMX vor einiger Zeit Mist gebaut hatte und zum Open Relay wurde. Ich hatte dann auch über GMX ein paar Viren zugeschickt bekommen.)
smtpd_helo_required = no
smtpd_helo_required = yes
Alle sendenden Clients müssen sich mit HELO melden. Dies ist von RFC 2821 vorgeschrieben.
smtpd_helo_restrictions =
smtpd_helo_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_invalid_hostname
reject_invalid_hostname: Weise alle Clients ab, die sich mit einem ungültigem HELO-Namen vorstellen. Dazu zählen auch die Clients, die sich mit deiner eigenen IP-Adresse vorstellen wie in der von dir zitierten Mail.
smtpd_recipient_restrictions = permit_sasl_authenticated,permit_mynetworks,reject_unauth_destination
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination, reject_non_fqdn_sender, reject_non_fqdn_recipient,
Lehne Mails ab, die nicht deine Domain enthalten.
smtpd_sasl_auth_enable = yes smtpd_sasl_security_options = noanonymous smtpd_sender_restrictions = hash:/etc/postfix/access smtpd_use_tls = no strict_rfc821_envelopes = no transport_maps = hash:/etc/postfix/transport unknown_local_recipient_reject_code = 450
Setze dies auf 550, ansonsten versuchen sendende Server immer wieder, eine falsch getippte Mail zuzustellen, denn 450 ist der Returncode für einen temporären Fehler.
Es gibt noch vieles mehr, was man machen kann, aber die genannten Maßnahmen sollten Spam bereits um vieles reduzieren mit sehr wenig Aufwand und keinem Pflegebedarf.
Sandy Vielen herzlichen Dank für diese ausführliche Hilfestellung. Wo kann ich noch mehr darüber erfahren und vorallem für die Zukunft lernen? Damit gar nicht erst eine kleine Panik ausbrechen muss... :-)
Gruß Christian