Sandy Drobic wrote:
Thomas Fankhauser wrote:
Sandy Drobic wrote:
Gut, dann kannst du reject_unverified_recipient verwenden.
Ich hab jetzt diese Konfig. die Mails sind drastisch gesunken. ;-)
Sehr schön.
Danke erstmal!
smtpd_helo_required = yes smtpd_helo_restrictions = permit_mynetworks, reject_non_fqdn_hostname, reject_invalid_hostname, permit smtpd_recipient_restrictions = reject_unauth_pipelining, permit_sasl_authenticated, permit_mynetworks, reject_unauth_destination, reject_invalid_hostname, reject_non_fqdn_hostname, reject_non_fqdn_sender, reject_non_fqdn_recipient, reject_rbl_client zombie.dnsbl.sorbs.net, reject_rbl_client list.dsbl.org, reject_rbl_client zen.spamhaus.org, reject_rbl_client dialup.blacklist.jippg.org, reject_unverified_recipient
Die Checks reject_non_fqdn_hostname und reject_invalid_hostname tauchen auch in smtpd_recipient_restrictions auf, deshalb ist es nicht nötig, sie doppelt zu prüfen.
Ich blick nur nicht ganz durch, warum es die smtpd_*_restirctions gibt, wenn alles in einer einzelnen sein kann.
smtpd_sasl_auth_enable = no
Da bei dir smtp auth nicht aktiv ist, könntest du auch permit_sasl_authenticated herausnehmen.
Dies hatte ich drinn, weil ich verstanden habe dass mindestens eine Regel mit 'permit' drinn sein muss. Somit habe ich eine drinn, greifen kann sie aber nie. Als dann permit_mynetworks noch reinkam, hab ichs einfach drinngelassen (greift ja eh nie;-)
Häßlich wird es dann, wenn du Ausnahmen für falsch konfigurierte Server machen musst und deshalb vor deine Prüfungen eine Whitelist setzt. Dann musst du nämlich in jeder verwendeten smtpd_*_restrictions die Whitelist setzen.
So reicht es dann, wenn du die Whitelist einmal setzt (nach reject_unauth_destination und vor deinen UCE-Checks).
Unknown ist ja wirklich nicht ernstzunehmen, oder?
Unknown bedeutet, dass es keinen reverse DNS Eintrag gibt oder dieser nicht übereinstimmt mit dem DNS-Eintrag.
Aber sorry, wenn es nicht mal einen reverse DNS Eintrag gibt, dann ist doch wohl schon etwas faul. Jeder hinterletzte DialUp Account besitzt einen entsprechenden ptr Eintrag.
host 60.211.122.254 Host 254.122.211.60.in-addr.arpa not found: 3(NXDOMAIN)
Leider habe ich genügend Clients, die normale Mails einliefern, aber keinen korrekten reverse DNS-Eintrag. Deshalb kann ich nicht darauf prüfen.
Das sind aber Clients, nicht Server. Die Clients müssten sich in meinem Fall per SMTP-AUTH anmelden. Ist aber momentan noch nicht nötig, da diese direkt auf den Zielserver verbinden. Die Umstellung ist geplant, ich weiss nur noch nicht wann dieser Postfix soweit ist. Wenn der Name den der Server im EHLO angibt, nicht mit dem ptr der ip übereinstimmt, würde ich mir aber dennoch überlegen, den Empfang abzulehnen. Meines erachtens ist in dem Fall der Server bzw. DNS nicht fertig installiert. Mit entsprechender Fehlermeldung sollte eigentlich der Kunde letztendlich fähig sein, zu seinem Provider zu gehen und ihm diese Fehlermeldung aufzeigen. Meisst sind es die grossen Provider in Frankreich, die ihre Mailserver anders taufen als der DNS angibt.
Aber ich strafe alle unknown Clients mit Greylisting und testen gegen bl.spamcop.net (was ich bei normalen Servern nicht mache).
Wenn du wirklich diese unknown Clients einfach treten willst, dann heisst der zugehörige Check: reject_unknown_client
Ab Postfix 2.3 haben die Checks besser verständliche Namen:
reject_non_fqdn_hostname -> reject_non_fqdn_helo_hostname reject_invalid_hostname -> reject_invalid_helo_hostname reject_unknown_client -> reject_unknown_client_hostname
Das hab ich direkt grad geändert.
Noch eine Frage zur Konfig, so wie ich Sandy verstanden habe, soll ich die Zeile mit den smtpd_helo_restrictions weglassen. Oder in die smtpd_recipient_restrictions kopieren?
Ja. Einfach smtpd_helo_restrictions = setzen.
Das auch. Ich werds dann mal so lassen und weiter beobachten wie sich die Mails durchschlängeln. ;-) -- Thomas
-- Sandy
Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org