Discard statt reject

[slackware]

Emails die an Empfänger die nicht existieren geschickt werden sollen einfach kommentarlos gelöscht werden.

Wie setzte ich bitte Discard statt Reject ein?

Danke im voraus

[Joe User]

Alternative: Du könntest die Mails an /dev/null weiterleiten...

[dodolin]

Weitere Alternative: Er koennte seinen MTA auch einfach ausschalten.

[slackware]

Joe Danke für die Antwort, auch Danke Dodolin für die ( Antwort ), aber MTA wird nicht ausgeschaltet! Stattdessen stelle ich sogar noch eine Frage bitte:

Ich habe bis jetzt dafür gesorgt dass mein MTA gut funktioniert, aber die Sicherheit wird erst jetzt mit einem Angriff (der vor einem Monat angefangen hat) getestet! Ich habe vieles ausprobiert aber leider ohne erfolg

Ziel des Angreifers viel Traffic zu verursachen

Es werden täglich tausende E-Mails an falschen Benutzer geschickt, Postfix schickt Antworte zurück u.s.w.

Deswegen war meine Frage mit Discard statt Reject weil es hier um die Traffic geht.

Für eure Hilfe bin ich dankbar

[squize]

Wenn es dein Ziel ist, den Traffic zu minimieren, musst du die Mails vor der Auslieferung, d.h. vorm "Data"-Command bereits ablehnen. Hierzu dienen bei Postfix die restrictions, z.B. smtpd_recipient_restrictions.

Recipient Restrictions

Je nachdem wie dein System aufgebaut ist musst du also eine Liste mit allen gültigen Adressen vorhalten (hash Table, mysql ....), gegen die Postfix prüfen kann.
Dann werden alle anderen einfach abgelehnt.

Somit hast du nur noch den Traffic, der bei der anmeldung entsteht.

Wenn deine Kiste für alle nicht existierenden Addressen einen Bounce erzeugt kann man deine Kiste für DOS-Angriffe auf fremde Rechner benutzen. Es reicht eine Mail mit z.B. 100 ungültiger CC's an deine Kiste zu schicken, den Absender auf die Domain legen, den du angreifen willst und schon bekommt er 100 Bounces.


Gruss

Marc

[dodolin]

Es werden täglich tausende E-Mails an falschen Benutzer geschickt, Postfix schickt Antworte zurück u.s.w.

Dann hast du schonmal einen grundsaetzlichen Fehler in deinem Design bzw. deinem Setup, den du ASAP abstellen solltest.

Deswegen war meine Frage mit Discard statt Reject weil es hier um die Traffic geht.

Das ist der falsche Weg, wie ich ja in meinem ersten Post schon angedeutet hatte und wie auch squize das bereits erlaeutert hat. Wenn du Traffic minimieren moechtest (und auch sonst, eigentlich immer!!) sollte man ungueltige lokale Empfaengeradressen bereits nach dem RCPT TO ablehnen. Es gibt wirklich nur wenige spezielle Faelle, wo man andere Wege gehen muss. Ich bin mir aber ziemlich sicher, dass es solche Faelle auf einem Rootserver-Setup nicht gibt.

[slackware]

Wenn deine Kiste für alle nicht existierenden Addressen einen Bounce erzeugt kann man deine Kiste für DOS-Angriffe auf fremde Rechner benutzen. Es reicht eine Mail mit z.B. 100 ungültiger CC's an deine Kiste zu schicken, den Absender auf die Domain legen, den du angreifen willst und schon bekommt er 100 Bounces.

Danke squize für deine Antwort,

dieser Fall den du angesprochen hast ist leider eingetreten

es sind ca. 100 CC´s AOL email adressen

und es schaut so aus:

host mailin-01.mx.aol.com[205.188.155.89] said: 421-: (DYN:T1) http://postmaster.info.aol.com/errors/421dynt1.html 421 SERVICE NOT AVAILABLE (in reply to end of DATA command)

********

also die Emails an nicht existierenden Addressen abzulehnen ist auch keine Lösung!

:?:

[Roger Wilco]

also die Emails an nicht existierenden Addressen abzulehnen ist auch keine Lösung!

Doch, sofern du die Verbindung schon im SMTP-Dialog nach dem RCPT TO mit einer 55x Meldung beendest und keinen kompletten Bounce generierst. :roll:

[slackware]

Doch, sofern du die Verbindung schon im SMTP-Dialog nach dem RCPT TO mit einer 55x Meldung beendest und keinen kompletten Bounce generierst. :roll:

Danke Roger

du meinst:

unknown_local_recipient_reject_code = 550

statt

unknown_local_recipient_reject_code = 450

?

[Roger Wilco]

Ja, zum Beispiel.
Lies auch mal RFC 2821, vor allem Abschnitt 4.2.2.

[dodolin]

unknown_local_recipient_reject_code = 450

Halleluja!

http://www.postfix.org/postconf.5.html# ... eject_code

450 ist lediglich zum testen und debuggen, um sicherzustellen, dass die local recipient maps alle korrekt funktionieren. Der Default ist 550, warum man den dauerhaft aendert, ist mir schleierhaft.

[slackware]

Obwohl ich der Meinung bin dass mein MTA nur teilweise den Angriff abgewehrt hat aber es schaut jetzt viel besser aus und es herrscht seit 2 Tagen Ruhe!
( hoffentlich nicht diese Ruhe vor dem Storm)
ich möchte euch für eure Hilfe und Tipps herzlich danken