[postfix-users] reject_unverified_recipient

Mo Jun 28 08:25:10 CEST 2010

Am 28.06.2010 00:30, schrieb Christopher Stolzenberg:
> Am 27. Juni 2010 23:53 schrieb Robert Schetterer <robert at schetterer.org>:
> 
>> ja aber das kann ja gewollt so sein, typischer fall
>> du betreibst ein antispamrelay mit postfix ( spamasassin etc )
>> dabei ist es sinnvollerweise zwingend notwendig die existierenden
>> mail adressen der domains zu kennen ( um zb mit unknown recipient
>> antworten zu koennen) , wenn du aber keine statischen
>> listen dieser mailadressen pflegen willst/kannst fragst du halt am
>> mailserver der die mailboxen haelt nach, per smtp, ob die adressen
>> existieren
>> ist dies nicht der Fall kann dein antispamrelay den spammer abweisen
>> ( noch bevor die mail angenommen wird )
>> wenn der eigentliche mailserver dann auch noch nur ueber das
>> antispamrelay versendet wird der eigentliche mailserver weitgehenst
>> "versteckt" und muss keine filter Last tragen, das Ergebnis solcher
>> abfragen kann man cachen, bleibt das grundsaetzliche Problem dass man
>> immer schneller Fragen als antworten kann, das heisst es kann das
>> Problem entstehen das auch in diesem gewollten scenario
>> das antispamgate den eigentlichen mailserver mit nachfragen ueberflutet
>> ( weil es eben selbst so haeufig gefragt wird, oder es kommen falsche
>> Ergebnise etc  ), durch caching wird das gemildert, diese verfahren ist
>> aber relativ sicher wenn eine gut und stabile schnelle
>> Netzwerkverbindung ( selbes Netz/Rechenzentrum etc ) zwischen relay und
>> eigentlichem mailserver existiert, haeufige Methode auch bei backup mx
>> servern , oder postfixantisapmrelays fuer exchange etc, man kann das
>> Problem aber acuh mit Anfragen ueber ander serives loesen zb ldap
>> Anfragen an die active dir etc
>>
>> was man def nur in absoluten Ausnahmefaellen machen sollte ist ein
>> sender verify weil dies taetsaechlich bei spam durch fake fast immer zur
>> belaestigung dritter geht was dann haeufig zum blacklisting fuehrt
> 
> Hi,
> 
> danke. Das leuchtet mir ein.
> 
> Also darf ich reject_unverified_recipient nur auf die Domains anwenden
> für die mein Postfix zuständig ist?
> Meine relay_domains?
> 
> Wenn ein Spammer das machen würde:
> 
> MAIL FROM: xyz at spammer.com
> und
> RCPT TO: <test at example.net>
> 
> würde mein Postfix Server bei dem Mailserver von example.net
> überprüfen ob es die Adresse test at example.net gibt?
> 
> Obwohl ich mit der Domain example.net gar nichts zu tun habe?

das kommt darauf an wo die regel steht an sich sollte er schon deswegen
ablehnen wenn dein server nicht fuer diese zustaendig ist
( zb weil nicht in relay_domains enthalten etc )
wenn dein mailserver auch die mailboxen haelt reicht ein
zb auch reject_unlisted_recipient, dann kannst du recipient verify ganz
vergessen

> 
> Ich habe gedacht das reject_unverified_recipient wendet Postfix nur
> auf die relay_domains an?

an sich recipient verify ist ein zusaetzlicher check, meines wissens,
wenn eine domain
nicht in deiner zb relay_domains etc steht dann weiss dein mailserver
ohnehin dass er nicht zustaendig ist , zusaetzlich ein verify ist
ueberfluessig, die kombi macht keinen Sinn

> Also muss ich es mit smtpd_recipient_restrictions =
> check_recipient_access 

nur wenn du statisch noch zusaetzliche regeln benutzen willst
an sich sollte sowas ausreichen

smtpd_recipient_restrictions = reject_unknown_recipient_domain,
                               reject_non_fqdn_recipient,
                               permit_mynetworks,
                               permit_sasl_authenticated,
...
reject_unlisted_recipient,
reject_unauth_destination


machen weil ich ja nur die relay_domains die
> der Firma gehören überprüfen will.
> 
> Chris
> _______________________________________________
> postfix-users mailing list
> postfix-users at de.postfix.org
> http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users


-- 
Best Regards

MfG Robert Schetterer

Germany/Munich/Bavaria