Andreas Jutzy wrote:
So, ich habe mich mal durch ein UCE FAQ von Ende 07 gekämpft, und erste Tests verliefen rel. gut.
Mal noch ein Postconf -n: alias_maps = hash:/etc/aliases biff = no broken_sasl_auth_clients = yes canonical_maps = hash:/etc/postfix/canonical command_directory = /usr/sbin config_directory = /etc/postfix daemon_directory = /usr/lib/postfix debug_peer_level = 3 defer_transports = disable_dns_lookups = no disable_mime_output_conversion = no disable_vrfy_command = yes html_directory = /usr/share/doc/packages/postfix/html inet_interfaces = all inet_protocols = all local_recipient_maps = unix:passwd.byname $alias_maps mail_owner = postfix mail_spool_directory = /var/mail mailbox_command = mailbox_size_limit = 0 mailbox_transport = mailq_path = /usr/bin/mailq manpage_directory = /usr/share/man masquerade_classes = envelope_sender, header_sender, header_recipient masquerade_domains = masquerade_exceptions = root message_size_limit = 10240000 mydestination = localhost.$mydomain, localhost myhostname = localhost mynetworks = 127.0.0.0/8 myorigin = example.com newaliases_path = /usr/bin/newaliases queue_directory = /var/spool/postfix readme_directory = /usr/share/doc/packages/postfix/README_FILES relayhost = relocated_maps = hash:/etc/postfix/relocated sample_directory = /usr/share/doc/packages/postfix/samples sendmail_path = /usr/sbin/sendmail setgid_group = maildrop smtp_sasl_auth_enable = no smtp_use_tls = no smtpd_banner = $myhostname ESMTP $mail_name smtpd_client_restrictions = permit_mynetworks
Kannst du weglassen. permit_mynetworks gibt "OK" zurück, wenn die Client-IP in $mynetworks ist, aber auch wenn nicht, wird am Ende der smtpd_*_restrictions immer "OK" angenommen. Also nur eine ABM-Maßnahme.
smtpd_data_restrictions = reject_unauth_pipelining, permit
Praktisch wirkungslos. Ich habe bisher nur sehr wenige Mails dadurch abgewiesen.
smtpd_helo_required = yes smtpd_helo_restrictions = smtpd_recipient_restrictions = reject_invalid_hostname, reject_non_fqdn_hostname, reject_non_fqdn_sender, reject_non_fqdn_recipient, reject_unknown_sender_domain, reject_unknown_recipient_domain, permit_mynetworks, permit_sasl_authenticated reject_unauth_destination, check_recipient_access pcre:/etc/postfix/recipient_checks.pcre, check_helo_access hash:/etc/postfix/helo_checks, reject_rbl_client
Ich würde noch die Funktion (Whitelist/Blacklist etc.) mit in den Namen hereinnehmen, sonst wirst du nach wenigen Monaten nicht mehr wissen, welche Checks wo stattfinden.
list.dsbl.org, reject_rbl_client dnsbl.sorbs.net, reject_rbl_client spam.dnsbl.sorbs.net, reject_rbl_client zen.spamhaus.org,
Die Reihenfolge würde ich auch etwas ändern: # leer bedeutet, dass sie nicht benutzt werden smtpd_client_restrictions = smtpd_helo_restrictions = smtpd_sender_restrictions = # alle checks hier einbauen smtpd_recipient_restrictions = # checks für alle Clients: keine Emailadressen akzeptieren, die nicht vollständig sind. reject_non_fqdn_sender reject_non_fqdn_recipient # Relayen erlaubt für Clients, deren IP in mynetworks steht. permit_mynetworks # Relayen erlaubt für Clients, die sich authentifizieren permit_sasl_authenticated # nach reject_unauth_destination nur noch Annahme von Mails für eigene Domains, # also nur noch externe, nicht vertrauenswürdige Clients reject_unauth_destination # Sicherstellen, dass die Mails auch ausgeliefert werden können (Empfänger ist gültig) # dies setzt voraus, das Postfix auch eine Liste der gültigen Emailadresen hat . Siehe oben unter Relay_domains! reject_unlisted_recipient # wenn keine relay_recipient_maps verwendet werden, kann reject_unverified_recipient verwendet werden # hier können falsch eingerichtete Clients aufgenommen werden, die von den darunterstehenden Checks abgewiesen werden: # wenn man dies in der Konfig angibt, muss die Datei existieren, und mit "postmap hash:/etc/postfix/whitelist_clients" bei jeder Veränderung # aktualisiert werden! check_client_access hash:/etc/postfix/whitelist_clients # HELO-checks: # Bei Postfix 2.3 aufwärts (mail_version?) ist der Name eindeutiger: # reject_invalid_helo_hostname # reject_non_fqdn_helo_hostname reject_invalid_hostname reject_non_fqdn_hostname # weise alle externen Clients ab, die die eigene IP als HELO angeben (100% nur Spammer!): check_helo_access hash:/etc/postfix/block_helo_own_ip # diese Datei enthält IP-Adressen, die nicht öffentlich sind, # wenn die Absender-Domain im DNS einen MX angibt, der nicht erreichbar ist, dann die Mail abweisen. #check_sender_mx_access cidr:/etc/postfix/sender_mx_blocked # Blacklist spamhaus.org abfragen # dies ist eine kombinierte Liste, welche dynamische IPs, Spam-Netze und Rechner, die an Spamtrap-Adressen Mails senden, blockieren: # sehr weit verbreitet, sehr effektiv, sehr wenige False Positives: reject_rbl_client zen.spamhaus.org # Weise Mails ab, deren Absenderadressen nicht im DNS auffindbar sind (diese Mails können deshalb ohnehin nicht beantwortet werden): # Hat manchmal false Positives, aber selten: reject_unknown_sender_domain /etc/postfix/sender_mx_blocked: 127.0.0.0/8 REJECT IP address of MX host is a loopback address 224.0.0.0/12 REJECT IP address of MX host is a multicast address 255.0.0.0/8 REJECT IP address of MX host is a bogus address 192.168.0.0/16 REJECT IP address of MX host is a IANA reserved address 172.16.0.0/12 REJECT IP address of MX host is a IANA reserved address 10.0.0.0/8 REJECT IP address of MX host is a IANA reserved /etc/postfix/block_helo_own_ip: mail.patorg.de 554 Do not use our own domain as HELO! 87.230.12.138 554 Do not use our own domain as HELO! [87.230.12.138] 554 Do not use our own domain as HELO! Hier noch einmal ohne Kommentare die Parameter, die hinzukommen, bzw. die bestehenden ersetzen: /etc/postfix/main.cf: smtpd_hard_error_limit = 4 smtpd_helo_required = yes smtpd_client_restrictions = smtpd_helo_restrictions = smtpd_sender_restrictions = smtpd_recipient_restrictions = reject_non_fqdn_sender reject_non_fqdn_recipient permit_mynetworks permit_sasl_authenticated reject_unauth_destination reject_unlisted_recipient check_client_access hash:/etc/postfix/whitelist_clients reject_invalid_hostname reject_non_fqdn_hostname check_helo_access hash:/etc/postfix/block_helo_own_ip check_sender_mx_access cidr:/etc/postfix/sender_mx_blocked reject_rbl_client zen.spamhaus.org reject_unknown_sender_domain
smtpd_sasl_auth_enable = yes smtpd_sasl_local_domain = smtpd_sasl_security_options = noanonymous smtpd_use_tls = no soft_bounce = yes strict_8bitmime = yes strict_rfc821_envelopes = yes transport_maps = hash:/etc/postfix/transport unknown_local_recipient_reject_code = 550 virtual_alias_maps = mysql:/etc/postfix/valiasessql.cf, hash:/etc/postfix/virtualexamplecom virtual_mailbox_base = /var/mail/example.com/ virtual_mailbox_domains = example.com virtual_mailbox_maps = mysql:/etc/postfix/vmailboxsql.cf virtual_minimum_uid = 100 virtual_transport = maildrop virtual_uid_maps = static:500
Im übrigen war die zweite virtual_alias_map die Lösung für mein Ursprungsproblem :o) So einfach kann es sein...
-- Sandy Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org