2 MTAs auf einen Server

Postfix, QMail, Sendmail, Dovecot, Cyrus, Courier, Anti-Spam
mathew
Posts: 50
Joined: 2004-01-11 15:19
Location: Krefeld

2 MTAs auf einen Server

Post by mathew » 2004-12-21 22:41

Hallo,

wegen einem Problem (http://www.rootforum.org/forum/viewtop ... 303#209303) wollte ich Fragen, ob es möglich ist, zwei MTAs auf einen Server zu installieren. Zur Zeit läuft qmail. Folgender Gedanke:

- qmail von port 25 auf 25000 setzen
- postfix auf port 25 eingehend alles annehmen, header und bodycheck prüfen, dann nach 25000 (qmail).

ausgehende Mails gehen direkt über qmail.

Also einfach nur postfix dazwischenquetschen. Aber ich denke mal, dann fliegt mir die SuSEConfig um die Ohren oder ???

Danke.

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: 2 MTAs auf einen Server

Post by dodolin » 2004-12-22 12:22

Möglich ist sicher vieles, die Frage ist, ob es Sinn macht. Welche Vorteile versprichst du dir davon und was kann das Setup leisten, was ein alleiniger MTA nicht zu leisten im Stande wäre? Wäre in deinem Setup der Postfix in der Lage, die lokalen User auf Existenz zu prüfen oder würdest du Collateral Spam produzieren? -> http://www.tldp.org/HOWTO/Spam-Filterin ... ml#colspam

audio07
Posts: 64
Joined: 2003-12-03 02:32
Location: Mainz

Re: 2 MTAs auf einen Server

Post by audio07 » 2004-12-22 14:08

Ganz ehrlich: SuSEconfig würde ich eher heute als morgen alle Zähne ziehen. Das ging mir mehr als einmal auf den Sack, wenn der meine Config wieder umgeschrieben hat. War letztendlich auch einer der Hauptgründe mich von SuSE zu distanzieren.
In deinem Kernproblem würde mich allerdings auch mal interessieren, welchen Sinn du mit diesem Ansatz verfolgst.

mathew
Posts: 50
Joined: 2004-01-11 15:19
Location: Krefeld

Re: 2 MTAs auf einen Server

Post by mathew » 2004-12-22 16:30

Plesk läuft nur mit qmail, also muss ich qmail nutzen. Mit qmail kann ich aber kein header und bodycheck machen, daher bekomme die Kunden ne Menge Mails mit **** Spam *** die ich ja auch nicht einfach löschen kann. Bei Postfix wurden bereits 90% vom MTA abgelehnt, da er, wenn er z.B. Viagra findet diese dann ablehnt und der Sender dann auch einen Mailer Daemon bekommt. Sprich, ich lösche keine e-Mails wie es z.B. bei Spam Assassin möglich wäre, was aber nicht geht, da ja auch eine richtige dazwischen sein könnte. Und wenn was nicht angenommen wird, weiß der Sender auch warum. So bin ich auf der richitgen Seite.

Deswegen:

postfix mit header und bodycheck,
qmail die Verwaltung und Plesk

Damit ich keine Mehrfachverwaltung habe, soll postfix alles annehmen und nach body und headercheck an qmail weiterleiten.

Leider bin ich durch Plesk gezwungen qmail zu nehmen *grrrr*

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: 2 MTAs auf einen Server

Post by dodolin » 2004-12-22 16:32

soll postfix alles annehmen
Schlechte Idee.

Falls du es trotzdem tun möchtest, verrätst du mir freundlicherweise deine IP, damit ich sie gleich mal lokal blacklisten kann?

audio07
Posts: 64
Joined: 2003-12-03 02:32
Location: Mainz

Re: 2 MTAs auf einen Server

Post by audio07 » 2004-12-22 16:49

Wieso sortierst du nicht per procmail aus und benutzt Spamassassin zur Filterung? Man muß die Mails ja nicht löschen - man kann sie ja in entsprechende Ordner kopieren lassen. Und procmail wird qmail ja unterstützen oder?

mathew
Posts: 50
Joined: 2004-01-11 15:19
Location: Krefeld

Re: 2 MTAs auf einen Server

Post by mathew » 2004-12-22 17:21

dodolin: tolle Antwort, hoffe Deine Beiträge sind nicht alle so erfrischend.

Wenn ich die als Spam markierten Mails in einen Ordner kopieren kann, muss sich jemand auch den Ordner anschauen. Wer macht das wenn dort Mails in allen Sprachen vorhanden sind. Weiterhin ist es egal ob e-mails Spam oder als Spam markiert sind. Anschauen und löschen muss man sie doch dann trotzdem.

postfix unterstützt body, mime_header und header checks wo ich schon bei der Annahme der Mails filtern kann und somit 90% Spam erst gar nicht bekomme, ohne Risiko das was gedropt wird, da der Sender ja ein Mailer Daemon bekommt. Das war eigentlich optimal.

Nun nutze ich Plesk, da ich mit Confixx mehrer Probleme hatte. Und Plesk läuft nur mit qmail. Gut, alle Probleme die ich mit Confixx hatte, habe ich in Plesk nicht. Dafür bekomme ich und alle anderen jeden Tag 20 mails mit Weihnachtsgrüssen wo *** Spam *** steht.

sw-soft sagt mit, das Plesk nur qmail unterstütz weil es bei Confixx wegen falsch konfigurierter Mailserver zu erheblichen Problemen gekommen ist. Daher nehmen die nur einen, und das ist qmail.

Jetzt suche ich eine Lösung wie ich die Mails vor der Annahme prüfen kann, ohne aber auif qmail zu verzichten. Daher eben der Gedanke, dass ich einfach postfix mit den checks dazwischensetze.

Ob postfix alles weiterleitet spielt doch keine Rolle, sicher wird es mehr Traffic verursachen, weil er alles annimmt, aber qmail wird spätestens dann blocken. Da ich keinen Microsoft Exchange Server direkt ins Internet stellen wille, nehme ich nen alten Rechner mit postfix der alles weiterleitet. Das klappt doch auch ganz gut. Wie gesagt ist der einzige Nachteil, dass er alles von der Domain annimt und die nicht direkt bei Postfix ablehnt, sondern erst beim Exchange.

Ich habe nun gestern und heute 6 Mails alleine von xmailer@dolfi.com bekommen mit Weihnachtsgrüssen *grrrrrr* Steht zwar *** Spam **** aber ist trotzdem da.

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: 2 MTAs auf einen Server

Post by dodolin » 2004-12-22 18:19

dodolin: tolle Antwort, hoffe Deine Beiträge sind nicht alle so erfrischend.
Bitte, gern geschehen. Ich kann noch ganz anders...!
Ob postfix alles weiterleitet spielt doch keine Rolle
Oh doch! Lies nochmal meinen ersten Post, da hatte ich versucht, dir die daraus entstehenden Probleme aufzuzeigen.

mathew
Posts: 50
Joined: 2004-01-11 15:19
Location: Krefeld

Re: 2 MTAs auf einen Server

Post by mathew » 2004-12-22 18:32

versteh mich nicht falsch, es ist sicher nicht mein Anliegen hier im Forum Stress zu machen oder irgendwelche Beiträge zu kritisieren. Den Sinn und Zweck eines Forum brauch ich Dir ja sicher nicht erklären.

Also,

postfix kann doch für alle lokalen Doamins die ich explizit angebe, die Mails annehmen, prüfen und dann an den Port von qmail weiterleiten. Ich verstehe nicht ganz, was es mit Collateral Spam zu tun hat ??? Die User werden dann ja in qmail geprüft. Und versenden soll postfix ja auch nichts, sondern nur auf 25 annehmen und dann an qmail weitergeben.

Sprich, will jemand den MTA als Spam missbrauchen, bleibt er spätestens beim qmail kleben.

Aber ein anderes Problem: Was ist mit smpt-auth *peng* Ã?ber diesen Port 25 werden ja auch Kundenmails verschickt. Denke damit hat sich das Thema erledigt.

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: 2 MTAs auf einen Server

Post by dodolin » 2004-12-22 18:41

Ok, also dann versuche ich es nochmal "in ausführlich":

1) Es kommt eine (Spam-/Viren-)Mail an für DenUserGibtEsNicht@DeineLokaleDomain.example.

2) Wenn nun dein Postfix nicht prüfen kann, welche lokalen Adressen/User existieren und welche nicht, muss er die Mail erstmal annehmen.

3) Er versucht nun, diese Mail an qmail auszuliefern, dieser nimmt die Mail aber wegen dem nicht existenten User nicht an.

4) Dein Postfix muss nun an den (fast sicher gefälschten) Absender einen NDR (Non Delivery Report, AKA Bounce) schicken. -> Das ist Collateral Spam, den du hättest vermeiden können, indem dein Postfix eine Liste der lokal existenten User bekommt oder durch andere Methoden prüfen kann, welche lokalen Adressen existieren und welche nicht.

audio07
Posts: 64
Joined: 2003-12-03 02:32
Location: Mainz

Re: 2 MTAs auf einen Server

Post by audio07 » 2004-12-22 19:10

Ich kann dir aus Erfahrung sagen, dass man Mails von spamassassin ab einer gewissen Punktzahl getrost in /dev/null leiten kann. Setzt man diese Grenze auf ein adäquates Maß, dann sind auch so fast alle Mails weg. Ab 15 Punkten hatte ich noch NIE eine false-positive drin.
Eine weitere und zudem sehr effiziente Methode, ist Senderdomains auf deren Existenz zu prüfen. Ich hab jetzt aus meinem System keine genauen Statistiken, würde aber sagen, dass damit 30-40% des Spams gekillt werden. Man kann auch noch weiter gehen (ich bin mir nicht sicher ob du das mit denen Ausführungen meintest) und das Senderkonto mit einem Test-Request auf Existenz prüfen. Dieses Verfahren ist in vielen Fällen sehr wirkam - allerdings auch kritisch: Vor allem größere Server blacklisten den Requester für so etwas durchaus (ist auch auf postfix.org nachzulesen). Zudem werden damit auch Mails geblockt beispielsweise von Newslettern, die über eine nicht-existierende Adresse schicken, um keine direkten Antworten zu erhalten (nur als Beispiel).
Wenn ich mich allerdings auf eines nicht verlassen würde, dann sind es fremde Blacklists. Aber da kann man geteilter Meinung sein...

mathew
Posts: 50
Joined: 2004-01-11 15:19
Location: Krefeld

Re: 2 MTAs auf einen Server

Post by mathew » 2004-12-22 21:52

gut, also das mit dem postfix und qmail auf einem Server kann ich dann ja vergessen. Nun muss ich dann halt versuchen, dass beste drauß zu machen und mich genauer in Bezug auf Spam mit qmail und spam assassin beschäftigen. Das ärgerliche ist halt, dass es alles schon wunderbar lief, ein Grund warum ich damals von sendmail auf postfix umgestiegen bin und mich damit ausgiebig beschäftigt habe. Nun kann bzw. muss ich mich mit qmail beschäftigen weil sw-soft diesen genommen hat.

Ich hätte lieber die Zeit anders genutzt, z.B. meine Schwiegermutter besuchen oder sowas ;-)

OK, also Danke an Euch beiden und frohes Fest.

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: 2 MTAs auf einen Server

Post by dodolin » 2004-12-22 23:21

Ich kann dir aus Erfahrung sagen, dass man Mails von spamassassin ab einer gewissen Punktzahl getrost in /dev/null leiten kann.
Nur, wenn man das auch rechtlich verantworten kann!!

audio07
Posts: 64
Joined: 2003-12-03 02:32
Location: Mainz

Re: 2 MTAs auf einen Server

Post by audio07 » 2004-12-23 01:06

Das war nur eine generelle Aussage - für das eigene Konto. Hab mich da nicht ganz klar ausgedrückt...
Keiner meiner User erhält eine Spam-Filterung ohne ausdrücklichen Wunsch.