Welche SMTPD-Restrictions (postfix) sind sinnvoll?

theomega
Userprojekt
Userprojekt
Posts: 704
Joined: 2003-01-27 14:36

Welche SMTPD-Restrictions (postfix) sind sinnvoll?

Post by theomega »

Hallo leute,
ich habe seit Jahren postfix im Einsatz, und habe seit langem die Config nurnoch sehr behutsam angefasst. Jetzt wollte ich mal checken ob das ganze so ok ist:
Ich habe nur die smtpd_recipient_restrictions gesetzt (macht es sinn die anderen wie client oder helo restrictions zu nutzen?)

und zwar auf folgendem Wert:

Code: Select all

        reject_invalid_hostname,
        reject_non_fqdn_sender,
        reject_non_fqdn_recipient,
        reject_unknown_sender_domain,
        reject_unknown_recipient_domain,
        reject_unauth_pipelining,
        permit_mynetworks,
        permit_sasl_authenticated,
        reject_unauth_destination


Die Benutzer dürfen entweder von localhost und aus dem VPN unathenfiziert oder per saslauthentifikation outbound mails verschicken. Was hat ihr für restrictions drin? Vor allem macht es sinn hier schon DNS-Blacklists einzuseten oder überlässt man soetwas am besten dem spamassassin? Performanter wäre es doch das schon beim Helo zu machen, dann muss die Nachricht garnicht gespeichert werden oder?

Wer hat mir ein Paar tipps?

Danke
TO
Top

User avatar
Joe User
Project Manager
Project Manager
Posts: 11518
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Welche SMTPD-Restrictions (postfix) sind sinnvoll?

Post by Joe User »

Top

Roger Wilco
Administrator
Administrator
Posts: 6001
Joined: 2004-05-23 12:53

Re: Welche SMTPD-Restrictions (postfix) sind sinnvoll?

Post by Roger Wilco »

theomega wrote:Vor allem macht es sinn hier schon DNS-Blacklists einzuseten oder überlässt man soetwas am besten dem spamassassin?

Der Einsatz von RBL ist sinnvoll, allerdings nur die Kombination verschiedener Listen, d. h. blocken, wenn der Mailserver bspw. auf mehr als 3 Listen steht. Das geht mit policyd-weight ganz einfach. Dem SpamAssassin würde ich das nicht überlassen, da ist es schon zu spät. Generell würde ich mit dem SpamAssassin keine Network-Checks mehr durchführen (also auch nicht DCC, Pyzor/Razor), da diese einfach zu "teuer" sind zu diesem Zeitpunkt.

Eine wirklich schöne Sache ist Conditional Greylisting, d. h. die einliefernden Server werden gegreylisted*, wenn sie auf einer bestimmten Anzahl von RBL stehen. Ich mache sowas mit meinem Exim und habe gute Erfolge damit erzielt. Unter http://blog.waja.info/2007/08/03/condit ... eylisting/ wird das für Postfix mit policyd-weight und postgrey beschrieben.

*: Wunderschöne Wortkreation ;)
Top

flo
RSAC
Posts: 2297
Joined: 2002-07-28 13:02
Location: Berlin

Re: Welche SMTPD-Restrictions (postfix) sind sinnvoll?

Post by flo »

<OT>
muß das nicht greygelisted heißen?
</OT>

Zum Thema Spanassassin: ich merke das auch - die Checks für teilweise eindeutige Mails nehmen zuviel Zeit in Anspruch und können bei schneller Anbindung dann auch dazu führen, daß der Server nicht mehr hinterherkommt - zweimal hab ich das bei einem Kunden bei seinen eigenen Bounces (Newsletter) erlebt - da kamen innerhalb einer halben Stunde 3500 Mails zurück. Schaukelt sich hoch und nimmt zum Abarbeiten 20 Stunden in Anspruch.
Top