RootForum Community

Resources for System-Administrators
https://www.rootforum.org/forum/

Welche SMTPD-Restrictions (postfix) sind sinnvoll?

https://www.rootforum.org/forum/viewtopic.php?t=46811

Page 1 of 1

Welche SMTPD-Restrictions (postfix) sind sinnvoll?

Posted: 2007-08-14 13:27
by theomega
Hallo leute,
ich habe seit Jahren postfix im Einsatz, und habe seit langem die Config nurnoch sehr behutsam angefasst. Jetzt wollte ich mal checken ob das ganze so ok ist:
Ich habe nur die smtpd_recipient_restrictions gesetzt (macht es sinn die anderen wie client oder helo restrictions zu nutzen?)

und zwar auf folgendem Wert:

Code: Select all

        reject_invalid_hostname,
        reject_non_fqdn_sender,
        reject_non_fqdn_recipient,
        reject_unknown_sender_domain,
        reject_unknown_recipient_domain,
        reject_unauth_pipelining,
        permit_mynetworks,
        permit_sasl_authenticated,
        reject_unauth_destination
Die Benutzer dürfen entweder von localhost und aus dem VPN unathenfiziert oder per saslauthentifikation outbound mails verschicken. Was hat ihr für restrictions drin? Vor allem macht es sinn hier schon DNS-Blacklists einzuseten oder überlässt man soetwas am besten dem spamassassin? Performanter wäre es doch das schon beim Helo zu machen, dann muss die Nachricht garnicht gespeichert werden oder?

Wer hat mir ein Paar tipps?

Danke
TO

Re: Welche SMTPD-Restrictions (postfix) sind sinnvoll?

Posted: 2007-08-14 15:11
by Joe User
http://jimsun.linxnet.com/misc/postfix-anti-UCE.txt

Re: Welche SMTPD-Restrictions (postfix) sind sinnvoll?

Posted: 2007-08-14 15:26
by Roger Wilco
theomega wrote:Vor allem macht es sinn hier schon DNS-Blacklists einzuseten oder überlässt man soetwas am besten dem spamassassin?
Der Einsatz von RBL ist sinnvoll, allerdings nur die Kombination verschiedener Listen, d. h. blocken, wenn der Mailserver bspw. auf mehr als 3 Listen steht. Das geht mit policyd-weight ganz einfach. Dem SpamAssassin würde ich das nicht überlassen, da ist es schon zu spät. Generell würde ich mit dem SpamAssassin keine Network-Checks mehr durchführen (also auch nicht DCC, Pyzor/Razor), da diese einfach zu "teuer" sind zu diesem Zeitpunkt.

Eine wirklich schöne Sache ist Conditional Greylisting, d. h. die einliefernden Server werden gegreylisted*, wenn sie auf einer bestimmten Anzahl von RBL stehen. Ich mache sowas mit meinem Exim und habe gute Erfolge damit erzielt. Unter http://blog.waja.info/2007/08/03/condit ... eylisting/ wird das für Postfix mit policyd-weight und postgrey beschrieben.

*: Wunderschöne Wortkreation ;)

Re: Welche SMTPD-Restrictions (postfix) sind sinnvoll?

Posted: 2007-08-14 23:45
by flo
<OT>
muß das nicht greygelisted heißen?
</OT>

Zum Thema Spanassassin: ich merke das auch - die Checks für teilweise eindeutige Mails nehmen zuviel Zeit in Anspruch und können bei schneller Anbindung dann auch dazu führen, daß der Server nicht mehr hinterherkommt - zweimal hab ich das bei einem Kunden bei seinen eigenen Bounces (Newsletter) erlebt - da kamen innerhalb einer halben Stunde 3500 Mails zurück. Schaukelt sich hoch und nimmt zum Abarbeiten 20 Stunden in Anspruch.
All times are UTC+01:00
Page 1 of 1