Sandy Drobic wrote:
Thomas Fankhauser wrote:
Mache dich besser darauf gefasst, dass du eine Menge Probleme mit schlecht konfigurierten Systemen bekommen wirst. :-( Ich hatte reject_unverified_sender kurze Zeit im Einsatz, habe es dann nur noch selektiv verwendet auf seltsame Hostnamen (die mit den vielen Zahlen drin oder unknown oder mit dynamic|ppp|dialup etc.), hatte aber immer noch einige Fehlabweisungen und bin dann dazu übergegangen, Greylisting for dem reject_unverified_sender zu verwenden. (Cami's policyd hatte ich umkonfiguriert von defer_if_permit auf 450 Tempreject).
Vielen Dank Sandy, Um der Spamflut zu entkommen, bin ich an der Installation eines Mailservers der die eingehenden Mails möglichst mit hohen Treffern zurückweisen kann.
Greylisting ist im Augenblick ein hervorragendes Mittel gegen Spam, aber es sollte von anderen Methoden wie Blacklist etc. ergänzt werden.
Die jetzige Konfiguration läuft mit Sendmail und Spamassasin. Das Problem ist aber, dass SA auch echte Mails aussortiert. Diese Mails sind verloren weil der Absender nicht darüber informiert werden kann.
Dein Spamassassin macht dann Mist. Ich habe bei mir folgende Policy-Struktur:
1. alle erwünschten mails annehmen 2. soviel Spam wie möglich ablehnen mit Regeln, die Punkt 1. erlauben. 3. soviel wie möglich von dem als Spam erkennen, was noch durchkommt 4. erkannte Spams werden getaggt, aber nicht gelöscht.
Meine Ãberlegung war nun, dass ein zwischengeschalteter Mailserver (hab jetzt Postfix genommen, weil er hier immer so gerühmt wird). Dieser Postfix weiss aber nicht welche emailadressen auf dem Zielsystem gültig sind. Wenn er diese nun annimmt aber der Zielserver diese infolge 'user unknown' ablehnt, habe ich ein Problem.
Sehr gut gesehen. Backscatter sieht niemand gerne und viele Server sind deswegen schon auf den Blacklists gelandet.
Darum erschien mir die überprüfung der emailadresse des Absenders als sehr gut. Mitlerweile muss ich gestehen ist dieser Lösungsansatz nicht gut.
Wenn das ein Relay-Server ist, dann sollte er eine Empfängervalidierung vornehmen. Die beste Methode dafür ist, die Empfänger in Listen mit gültigen Empfängern nachzuschlagen. relay_domains = relay.example.com relay_recipient_maps = hash:/etc/postfix/relay_recipients
/etc/postfix/relay_recipients: validuser@relay.example.com valid_user
Die zweite, nicht so schöne Methode, ist die Empfängerverifizierung über reject_unverified_recipient. In dem Fall baut Postfix eine Verbindung zum Backend-Server auf und sondiert, ob dieser die Empfängeradresse annimmt. Wenn ja, dann nimmt Postfix die Mail an.
Der Pferdefuß ist, dass der Backend-Server auch die Fähigkeit haben muss, im smtp Dialog gültige Empfänger von ungültigen zu unterscheiden. Außerdem muss er natürlich erreichbar sein, sonst funktioniert es nicht.
Sendmail kann das.
Beides kann etwas gemildert werden, wenn man die Ergebnisse cached.
Selbstverständlich möchte ich nicht nur die reject_unverified_sender sondern so viele Regeln wie möglich einbauen. Da ich mich mit Postfix noch nicht so auskenne (habs heute installiert) bin ich für alle Hinweise dankbar.
Ich bin dagegen, soviele Regeln wie möglich einzubauen. (^-^) Verwende am besten erst einmal solide Regeln, die du verstehst, und baue dann die Konfiguration langsam aus.
Ich hab den Server gestern beobachtet, danach noch die Konfig
verändert. Heute bin ich erstaunt dass noch viel zu viele Mails
durchkommen. Scheinbar verstehe ich das Regelwerk noch nicht.
Die Mail mit diesem Header:
Received: from miaow.com (unknown [222.88.215.140])
by melinda.slogi.ch (Postfix) with SMTP id 3BC961743F5;
Wed, 14 Feb 2007 12:31:41 +0100 (CET)
Message-ID: <53d501c7506e$7dc3d840$1486f16a@annikakneffelufoq>
From: "Staci"
Bis jetzt funktioniert die Mailannahme wie gewünscht, nur halt noch ohne grosse Abwehr. Ich bin nur verwirrt warum postfix/qmgr sich fast eine Minute Zeit nimmt um die Mail dann auszuliefern.
Sind alte Blacklists konfiguriert,die einen Timeout liefern, weil sie nicht mehr laufen?
Eine möglichkeit besteht darin, die virtuser Datei des Zielsystems zu kopieren. Würdest du das so machen. Könnte Postfix so umgestellt werden, dass er die Verbindung zum Zielserver aufnimmt noch während die Verbinung vom Absender besteht? Somit sollte es doch möglich sein ein 'user unknown' weiterzureichen?
Ja, siehe oben.
Was meint ihr? Wie machen das andere?
Eine Mischung aus Greylisting, RBLs, Client-Checks, HELO-Checks.
Zeige doch mal die Ausgabe von "postconf -n", das zeigt die von den Default-Werten abweichend gesetzten Optionen.
Möchte ich auch machen, auch SPF1
SPF wird im Augenblick noch von so wenigen Servern überprüft, dass du dir den Einsatz im Augenblick sparen kannst. Das kommt erst ganz langsam in Fahrt, ebenso DK und DKIM.
-- Sandy
Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org