[postfix-users] Config von primary-mx - Verwerfen ungültiger Adressen

Morten P.D. Stevens mstevens at imt-systems.com
Di Mär 23 21:22:14 CET 2010 

> -----Original Message-----
> From: postfix-users-bounces+mstevens=imt-systems.com at de.postfix.org
> [mailto:postfix-users-bounces+mstevens=imt-systems.com at de.postfix.org]
> On Behalf Of Stefan Foerster
> Sent: Tuesday, March 23, 2010 8:48 PM
> To: postfix-users at de.postfix.org
> Subject: Re: [postfix-users] Config von primary-mx - Verwerfen
> ungültiger Adressen
> 
> * "Morten P.D. Stevens" <mstevens at imt-systems.com>:
> > > smtpd_recipient_restrictions =
> > >         permit_sasl_authenticated,
> > >         permit_mynetworks,
> > >         ... Zeug, das eigentlich davor gehört ...
> >
> > Wo ist dabei deiner Ansicht nach das Problem?
> 
> Du machst Dir nicht die Mühe, zu überprüfen, ob wenigstens die Domains
> des Absenders und des Empfängers existieren - 100%ig sicher kannst Du
> nie sein, aber gerade bei permit_sasl_authenticated (da sind Benutzer
> im Spiel, und meiner Erfahrung nach können sich 90% der Nutzer
> nichtmal alleine die Schuhe binden) ist das fast schon fahrlässig.
>
> Du nimmst nicht-qualifizierte Sender- und Empfängeradressen an - wenn
> Du mir sagst, Du weißt aus dem Kopf, was da alles komplettiert wird,
> schön für Dich, aber da dürftest Du einer von wenigen sein.

Das ist doch mal eine verwertbare Aussage. In dem Punkte stimme ich dir auch zu zumindest bei sasl_authenticated. Bei uns gibt aber sowieso keine SASL User weil wir keine typischen User haben die das mit ihrem eigenen Mailclient machen sondern ausschließlich Unternehmen deren Server sich an einem anderen Server von uns authentifizieren (und dieser Server macht sowieso solche Überprüfungen wie FQDN, Sender, Empfänger usw.) und der sendet dann über einen der großen Postfix Server raus. In my_networks stehen von daher auch nur IP´s aus unserem Rechenzentrum und keine externen. Somit hat kein User/Kunde direkten Zugriff auf unsere ein/ausgehenden Postfix Server. Vermutlich hast du durch den überflüssigen sasl_authenticated Eintrag gedacht, das dem anders wäre und User direkt über unsere großen Postfixserver senden können. Das wäre dann in der Tat grob fahrlässig.

Von daher spielen die zwei von dir genannten Punkte in unserer Konstellation praktisch keinerlei Rolle.
 
An der Stelle trotzdem nochmal vielen Dank für den Hinweis. In typischen Endanwender - Provider Szenarien hast du vollkommen Recht.

Nichtsdestotrotz werde ich dann den überflüssigen sasl_authenticated Eintrag rauswerfen. Auch wenn das in unserer Konstellation keinerlei Änderungen bewirkt :)

Jetzt dürfte dir evtl. auch klar sein, warum mir nicht klar war worauf du vorhin hinaus wolltest.

> P.S: Liest Du die 50000 Mails alle selber oder woher weißt Du, daß da
> nur 5-10 Spams durchkommen?

Weil wir einige Logs auswerten wie z.B. den von Spamassassin. Die Zahlen können natürlich trotzdem leicht variieren.

Viele Grüße

Morten

Mehr Informationen über die Mailingliste postfix-users