[postfix-users] Anti-Spam Gateway

[Robert Schetterer]

Markus Eyrich schrieb:
> Hallo,
> 
> Ich suche nach einer Möglichkeit einen Anti-Spam Gatway mittels Postfix 
> einzurichten. Ich möchte einen Postfix Server vor einen Exchange Server 
> schalten, dieser soll also keine lokalen Domains verwalten sondern 
> einfach nur für diverse Domains Mail entgegen nehmen, diese auf Spam 
> prüfen, notfalls noch prüfen ob das Konto auf dem Exchange existiert und 
> dann an den Exchange per SMTP zustellen. Kann mir hier jemand evtl. ein 
> bereits vorhandenes Howto oder teilweise Howto empfehlen oder mich in 
> die richtige Richtung schubsen?
> 
> Vielen Dank.
> 
> Markus Eyrich
> 
> 
> _______________________________________________
> postfix-users mailing list
> postfix-users at de.postfix.org
> http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users

Hi,
ich hab leider kein howto zu Hand
aber ich betreibe mehrere postfix vor exchange
in einem setup wie es bei einem backup mx ueblich ist
als mx ist aber nur der postfix im dns eingetragen
die mails werden ueber Transport an die exchange server
weitergeleitet, der exchange liefert wiederum nur ueber den postfix als
relay nach draussen.

In diesem setup gibt es bei mir keine user spezifischen
black/whitelisten im spamassassin deshalb beutze ich einfach
spampd fuer alle mails, und als antivir clamav-milter
zusaetzlich noch postgrey und rbls
das einzige was man regeln muss ist wie der postfix
die gueltigen domain und emailadressen kennt ( relay_domains
relay_recipients ),

Wie man diese files pflegt ist Geschmacksache
( und richtet sich stark an der Netzstruktur aus )
geht entweder ueber ssh oder zb ueber webmin,
dann hat man eine gui ( auch fuer dritte zugaenglich ), denkbar waere
auch eine ldap Abfrage am exchange, oder ein ldap import
per cron script vom exchange, auch ein recipient verify per smtp
am exchange ist moeglich allerdings ergeben diese Nachfrage Verfahren
in realzeit natuerlich reichlich traffic zwischen den Servern, das beste
sind schon feste listen, wenn man nicht allzuviele emailadressen und
domains hat und sich auch nicht viel aendert ist das haendische
Verfahren schon vertretbar.

Allgemein sollte man am besten die volle Kontrolle ueber beide Server
haben, bei mehreren domains und exchange servern ist es auch gut
einen sasl auth fuer den exchange am postfix relay einzurichten,
weil man dann ueber den sasl user die domains die der exchnange
uerb postfix relayen will einschraenken kann.

Es gibt dabei allerdings dadurch auch die Einschraenkung das wenn der
Exchange mails umleitet der als Absender den Orginal Absender im from
hat , das geht dann nicht mehr, dies funktioniert dann nur per
weiterleitungs regel im Outlook ( hier wird der Orginal Empfaenger dann
im from gefuehrt ),
das kann ab Exchnage 2007 schon wieder anders sein, technet lesen !

Es ist allerdings ohnehin besser mails gleich am postfix umzuleiten zb
mit sender bc maps etc.

Exchange unterscheidet sich in seinen Versionen teilweise stark und ist
immer als Einheit mit Outlook zu sehen was manchmal zu ueberraschungen
fuert, man sollte als speziell
nach Errichtung der Config ein Auge auf die logs haben,
ausserdem sollten die max mail groessen natuerlich auf einander
abgestimmt sein, ganz nuetzlich ist bei gewissen ueberpruefungen
auch gleich die standart Fehlermessages auf dem Postfix zu aendern
zb bei reject unknown domain gleich einen 550 statt 450 senden,
damit mails an nicht existierende domains gleich an exchange retur bouncen.

Der Exchange sollte niemals von aussen ausser von seinem postfix relay
mails annehmen und auch nur uber sein relay ausliefern
( evtl ueber firewall sicherstellen typischerweise steht der exchange ja
ohnehin im intranet und der postfix im internet/dmz

die verwendung eines zweiten postfix relays mit gesyncter config als
backup mx sollte man aus Redundanz gruenden erwaegen.

Ausserdem sollte man in header/body checks ein paar regeln haben um
backscatter zu vermeiden, bzw es sollte zb verhindert werden das per
Abwesenheitsscript im exchange/outlook auf schon als spam markierte
nach draussen geantwortet wird, aehnliches gilt auch fuer bounces etc.

Ausserdem sollte man schon auf dem postfix einige Vertipper in der
Mailadresse per error Transport abfangen damit die Mails nicht in der
Warteschlange duempeln.

Im Prinzip ist die Errichtung eines solchen Gateways keine grosse Sache
und sehr effektiv, es kommt halt immer ein wenig daruf an wie die
Ausgangssituation ist zb wieviele domains wieviele exchange.
oder d
alles unter einer Kontrolle oder mehrere Admins etc, darauf muss man das
Setup halt zurechtschneidern.

Ich hatte schon oefter das Erlebins das nach Einfuehrung eines solchen
Gateways die User glaubten ihr email waere defekt nur weil sie kaum mehr
spam bekamen und sich die Admins fragten wie das praktisch mit
kostenloser Software so effektiv moeglich ist.

Es werden fuer die richtig guten Loesungen auf dem Gebiet naemlich
Unsummen verlangt, ich hab aber noch keine gesehen die besser waere
als ein postfix gateway, zumindest fuer den normal User/Admin
bei richtig grossen Mail/isp moegen da aber noch andere Gesichtspunkte
eine Rolle spielen die dann auch den Einsatz von teuren Antispam
gateways rechtfertigen.


-- 
Best Regards

MfG Robert Schetterer

Germany/Munich/Bavaria