Andre Tann wrote:
Logo. Seit mein Postfix von draußen erreichbar ist, langweilt sich mein named plötzlich nicht mehr.
Ich nehme an, du hast Amavisd-new mit eingebunden? Der fragt natürlich eine Menge RBLs ab für jede Mail.
Also hier meine Reihenfolge:
smtpd_recipient_restrictions = permit_mynetworks reject_unauth_destination reject_non_fqdn_hostname reject_invalid_hostname reject_non_fqdn_recipient reject_invalid_hostname
doppelt
reject_unknown_client reject_rbl_client dnsbl.sorbs.net reject_rbl_client zen.spamhaus.org reject_rbl_client bl.spamcop.net permit
Ist das genehm so?
Ja, kein Problem. das letzte "permit" ist im Grunde überflüssig, weil Default, schadet aber auch nicht und macht die Aktion sichtbar. Wenn du später Erweiterungen wie einen Policy-Daemon einsetzen willst, sollte vor dem Aufruf der Policy-Daemons ein reject_unlisted_recipient stehen. Im Prinzip sollte direkt nach reject_unauth_destination auch ein reject_unlisted_recipient kommen. Sinn des ganzen ist es, die Annahme von ungültigen Empfängern und damit das Annehmen von nicht zustellbaren Mails zu verhindern. Früher oder später wirst du nicht verhindern können, eine Whitelist zu führen, um ein paar kaputte Clients zu erlauben. Wenn dann nicht vor der Whitelist schon die Prüfung auf ungültige Empfänger stattfindet, dann kann dieser client Backscatter verursachen.
reject_unknown_client_hostname ist übrigens ein ziemlich rabiater Check, der meistens auch ein paar erwünschte Mails ablehnt.
Och, bis jetzt hat sich noch niemand beschwert. Wieso überhaupt rabiat? Entweder es setzt einer sein System ordentlich auf, dann gibts kein Problem. Oder aber er muß halt nachbessern, wie ich...
Es gibt häufig Fälle, wo dies nicht möglich ist. Dies habe ich insbesondere von chinesischen und spanischen Mailadmins in Klagen gehört. In Deutschland ist dies normalerweise kein Problem, das stimmt. Es gibt auch viele Fälle von Fehlkonfiguration, wo es gerade in Firmenhierarchien nicht so einfach ist, etwas zu ändern. Gerade große Konzerne sind in dieser Hinsicht sehr träge nach dem Motto "wir haben kein Problem, das Problem muss auf deiner Seite sein". Die sitzen das einfach aus.
Ich glaube nicht, dass du in dieser Branche tätig bist.
Hm. Ich dachte bisher eigentlich schon. Wie kommst Du zu diesem Schluß? Nur weil ich mich nicht genauso gut auskenne mit Postfix wie Du?
Vorsicht, das war etwas zu rabiat gekürzt. Damit meine ich nicht die Sysadmin/SMTP-Branche, sondern die Sicherheits-Branche. In dieser Schiene rechne ich die Experten für Firewall-Sicherheit, Programmierer von Antiviren-Software und sonstige Security-Experten. Ich betrachte mich auch nicht als zugehörig. (^-^) Auch ich habe schlicht nicht die Zeit, mich in dieses Gebiet einzuarbeiten. -- Sandy Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org