[postfix-users] von qpsmtpd regeln auf postfix setup umstellen

Driessen driessen at fblan.de
Do Sep 15 02:29:23 CEST 2011


On Behalf Of Aleksandar Lazic
> Hallo,
> 
> On Die 13.09.2011 23:28, Driessen wrote:
> >On Behalf Of Ralf Hildebrandt
> >> * Aleksandar Lazic <al-pfusde at none.at>:
> >> > Hallo,
> >> >
> >> >
> >> > Meine Idee ist es auf postfix+amavisd-new+dovecot zu wechseln.
> >> >
> >> > 1.) Hürde qpsmtpd setup auf postfix moven.
> >> >   b.) Die configuration vom qpsmtpd auf den postfix heben.
> >> >
> >> > Ich tendiere zu b.
> >>
> >> b) fragt sich nur was alles in qpsmtpd drin ist
> >
> >Eigentlich ist das nicht so wichtig was alles im alten drin ist.
> >Festlegen was Postfix für dich tun soll, welche checks sollen
> >gemacht werden.
> 
> Nun da ich mir die qpsmtpd config und Einstellungen in jahrelanger
> kleinstarbeit erarbeitet habe möchte ich primär mit dem
> Setup starten, wenn möglich ;-)

Möglich ist alles. Wirst dennoch nicht um feintunning danach Drumherum kommen.

> 
> >Der einfachheit halber alle checks unter smtpd_recipient_restrictions
> >in der main.cf zusammenfassen.
> 
> Sind die Warnungen von
> http://www.postfix.org/SMTPD_ACCESS_README.html#danger noch
> gültig?

Grundsätzlich haben diese Warnungen immer noch bestand. Aber bitte den Absatz genau lesen warum man verschiedene Dinge nicht tun sollte (das gilt eigentlich immer) 

> 
> Reicht es wirklich ausschlie�lich smtpd_recipient_restrictions zu
> nutzen?

Ja solange höchtens DUNNO für ausnahmen für clients statt permit genommen wird.
Läuft stabil seit Jahren.
"Here is an example that shows when a PERMIT result can result in too much access permission"

Sagt ganz klar warum man kein permit in den restriktionen nimmt und du solltest eh erst nach dem RCP to ablehnen. 
Steht alles unter den smtp_recipient... dann kannst du auch sofort beim check ablehnen und musst nicht bis zum ende der checks warten.


> 
> >> > Bin mir nicht sicher ob ich nicht gleich auf den postscreen wechseln
> >> > soll?
> >>
> >> Das ist oft ne schlaue Sache, geht aber nur wenn deine SMTP-AUTH
> >> Kunden port 587 (jedenfalls != 25) nutzen
> >
> >Oder man hat noch eine 2. IP und baut den MX auf die 2. IP mit
> Postscreen.
> >
> >Die Kunden brauchen nix zu ändern (vorläufig da 587
> >eigentlich schon fast Standard für eigene Kunden) und fremde
> >Server beißen sich an Postscreen die Zähne aus (in der
> >Regel die die man eh nicht möchte)
> 
> Wenn ich den postscreen nutzen sollte und den smtpd auf port 587 zum
> authentifizieren dann müssten sich doch die smtp-clients auf 587
> verbinden richtig?

Oder eine 2. IP für den MX record welche als Standard in der main.cf hinterlegt wird.

In der Master.cf werden dann die IP's und die Ports  für die eigenen Kunden zur Einlieferung davon abweichend inkl. eigener Restriktionen hinterlegt.

IP.ad.res.se:submission inet n      -       -       0       -       smtpd
    -o ......

IP.ad.res.se:smtp inet n      -       -       0       -       smtpd
    -o ..... 

> 
> Somit ist der einzige Unterschied für den Client der port und
> dass er sich authentifizieren muss, richtig?

Wenn du nur eine IP hast JA.

> 
> Wie funktioniert der Ablauf wenn ein Client sich auf port 25 verbindet
> und dort AUTH schickt?
> Laut meinem Verständnis sollte er ja dann geblockt werden,
> richtig?

Muß nicht kann man so machen. Auf jeden fall wird er dann bei einer IP und Postscreen gegen Postscreen rennen.
Postscreen kann dann auch nicht restriktiv prüfen denn da würden viele Clients nicht durchkommen. 

> 
> Soweit ich aus http://www.postfix.org/POSTSCREEN_README.html#config
> entnommen habe benötige ich mit postscreen dann mehrere Services,
> richtig?
> Was nicht tragisch ist, nur für mein Verständis.
> 
> Wenn ich den postscreen nutze muss ich dann smtpd_recipient_restrictions
> überhaupt einstellen?

Grundsätzlich musst du gar nichts einstellen aber was möchtest du?
Das du Mails auch in Zukunft versenden kannst?
Möchtest du Openrelay spielen?
Möchtest du Herr deines Mailservers bleiben?

Wenn auch nur eine der obigen Fragen mit Ja beantwortet wird dann kommst du um Restriktionen nicht herum. Die Frage welche Restriktionen beantwortet deine Policy für den Mailserver und evtl. Probleme bei der Einlieferung bzw. der Annahme von Mails.


> 
> Kann ich mit postscreen auch header_checks nutzen?

Postscreen hat nicht mit Header oder Bodychecks zu tun. Die laufen weit später im cleanup Prozess.

> 
> Welche Erfahrungen (gute/schlechte) habt Ihr mit
> 
> http://www.postfix.org/POSTSCREEN_README.html#after_220
> Tests after the 220 SMTP server greeting

Kommt drauf an was du möchtest? Deep inspection mit erstmal 450er fehler oder soll nur auf RBL's geprüft und durch gewunken werden. 

> 
> Brauche ich überhaupt greylisting mit postscreen?

Warum nicht? Und was heißt denn brauchen? Brauchen tut man erstmal nichts wenn es keine Probs gibt. Ansonsten fällt so was unter feintuning und wie man Greylisting betreibt (selectiv oder immer für alle)?  
Wird Greylistung am Anfang im Lernbetrieb ohne Verzögerung betrieben und dann irgendwann scharf geschaltet?

> 
> Sorry sind doch mehr Fragen geworden als erwartet, hoffe dass es nicht
> zu viele sind.

Kann ich mithalten denn deine Fragen sind fragen die nur du selbst beantworten kannst. Wie sieht die Policy deines Servers aus? Was möchtest du haben? Wo hast du Probleme? Mit was hast du Probleme?

Das Postfixsetup kann Komfortabel, mit sehr vielen spezifischen, leistungsfähigen Anpassungen, bei Abbildung sehr komplexer Strukturen und dennoch Übersichtlich und einfach nachvollziehbar aufgebaut werden.  

Die Grundsätzliche Einrichtung mit den wichtigsten Parametern kann in ca. 30-60 Minuten erfolgen und dein Postfix rennt und tut das wofür es geschrieben wurde.
> 

Sorry wollte dich nicht überfahren. Postfix ist einfach, aber sehr mächtig und es gibt fast nichts was man nicht tun kann.


Mit freundlichen Grüßen

Drießen

-- 
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert
Tel.: +49 06708 / 660045   Fax: +49 06708 / 661397




Mehr Informationen über die Mailingliste postfix-users