[postfix-users] Server oft auf Spamhaus oder Abuseeat

Robert Schetterer robert at schetterer.org
Di Sep 11 15:30:07 CEST 2012 

Am 11.09.2012 14:00, schrieb Mathias Jung:
> 
> Am 11.09.2012 um 12:55 schrieb Robert Schetterer:
> 
>> Am 11.09.2012 12:19, schrieb Mathias Jung:
>>> Hallo,
>>>
>>> ich habe einen Server der derzeit immer wieder auf Spamhaus oder Abuseeat landet.
>>>
>>> Alle Benutzer haben die Möglichkeit Postgrey, Policyd sowie Spamassassin zu nutzen
>>
>> wiso ist das optional ?
> 
> Da das teils zu nervig ist. Jede Menge Kunden beschweren sich das Sie manche Mails nicht erhalten.
> Der Grund ist immer der gleiche, kein ordentliches HELO, kein korreketes DNS/PTR.
> Wir wollen und können uns bei der Menge der Mails aber nicht immer an die dortigen Serverbetreiber wenden und hören dann aber die Beschwerden der Benutzer das Sie auf Ihre Mails angewiesen sind und oft hört man auch den Klassisker - beim anderen Anbieter hab ich die Mails auch bekommen...


deshalb sollst du es ( policy filter ) selektiv benutzen
http://www.arschkrebs.de/postfix/postfix_greylisting.shtml
das kannst du veraendert zu deinen Zwecken auch abaendern und/oder auch
fuer andere policy server verwenden
klappt hier ohne support fuer ca 4000 user , d.h es geht bei dir auch

und mit spamassassin hat das erstmal nichts zu tun
auch hier liegen die false positives bei mir unter 10 promille, das ist
verkraftbar, diesen nicht einzusetzen ( oder was Aehnliches )
geht heut zu Tage eigentlich nicht mehr

es ist dein Job, postfix fuer deine Kunden "vernuenftig" zu
konfigurieren, dass sehe ich hier nicht als ausgeschoepft an
ich empfehle regelmaessige log Analyse und Anpassungen

>>
>> - tun das aber zum teil nicht.
>>> Gerade bei denen fällt mir oft auf das diese auch Weiterleitungen an zB. google eingetragen haben.
>>
>> weiterleitungen sind immer ein Problem
>> du solltest in jedem Fall moeglichst unterbinden dass spam
>> weitergeleitet wird
>>
>> zb auf die schnelle kannst clamav-milter mit sanessecurity antispam
>> signaturen vorschalten, das haelt schon mal das uebelste ab und
>> verhindert auch dass deine Kunden spam senden
>>
>> der spamassassin sollte nicht optional sein, die user sollten aber ihr
>> eigenes black/whitelisting machen koennen, erkannter spam zb mit
>> globaler regel sieve regel in den Junk Ordner der Mailbox befoerdern,
>> dann kann so einfach dieser vom user auch nicht weitergeleitet werden
>>
>> evtl andere Loesung mit amavis und quarantaene suchen etc
>>
>> greylisting und rbls verpflichtend machen , aber selektiv einsetzten
>>
>>
>>> Wenn ich dann eine Meldung eines Listings bekomme finde ich in dem Bereich der Logs dann oft diesen Ablauf:
>>>
>>> - Mail an Benutzer
>>> - der hat keine der Filter aktiv
>>> - Mail leitet weiter auf extern (zB. google).
>>> - Dort sagt der Spamfilter - nö mag ich nicht
>>> - mein Server lehnt die Email dann auch ab
>>>
>>> Ich hänge jetzt bei genau diesem Punkt.
>>> Ist das womöglich ein Configfehler meinerseits oder fehlt etwas das ich tun kann?
>>>
>>> Hier mal die derzeitige Restriction die ich im Einsatz habe:
>>>
>>> smtpd_recipient_restrictions =
>>>     check_recipient_access hash:/etc/postfix/recipient_access,
>>>     reject_unauth_pipelining,
>>>     check_sender_access hash:/etc/postfix/access
>>>     check_client_access hash:/etc/postfix/whitelist
>>>     reject_unknown_sender_domain,
>>>     reject_unknown_recipient_domain,
>>>     reject_non_fqdn_sender,
>>>     reject_non_fqdn_recipient,
>>>     # Postfix policyd
>>>     check_policy_service inet:127.0.0.1:10031,
>>>     permit_sasl_authenticated,
>>>     reject_unknown_reverse_client_hostname,
>>>     ## Blacklisting / Filter
>>>     #  Whitelist
>>>     check_recipient_access hash:/etc/postfix/policyd_weight_list,
>>>     # Greylisting Dienst
>>>     check_policy_service inet:127.0.0.1:10023,
>>>     # Policyd-Weight Dienst
>>
>> #####################################################
>>>     check_policy_service inet:127.0.0.1:12525,
>>>     reject_unauth_destination,
>> #####################################################
>>
>>>     permit
>>
>> http://www.postfix.org/SMTPD_POLICY_README.html
>>
>> 5 /etc/postfix/main.cf:
>> 6     smtpd_recipient_restrictions =
>> 7         ...
>> 8         reject_unauth_destination
>> 9         check_policy_service unix:private/policy
>>
>>
>> policy services nach
>> reject_unauth_destination setzen
>>
>> das letzte permit weg
>>
>>
>> http://www.policyd-weight.org/howto.html
>>
>> 01:  smtpd_helo_required = yes                          # required
>> 02:  smtpd_delay_reject = yes                           # suggested
>> 03:
>> 04:  smtpd_recipient_restrictions =
>> 05:      permit_mynetworks,                             # required
>> 06:      ... other authed permits ...
>> 07:      ... (permit_sasl_authenticated) ...
>> 08:      reject_unauth_destination,                     # required
>> 09:      ... whitelists (role accounts, clients) ...
>> 10:      reject_non_fqdn_recipient,                     # suggested
>> 11:      reject_invalid_helo_hostname,                  # suggested
>> 12:      check_policy_service inet:127.0.0.1:12525      # required
> 
> Danke, das passe ich an und ich schau mir auch mal die genannten Optionen an.
> 


-- 
Best Regards
MfG Robert Schetterer

Mehr Informationen über die Mailingliste postfix-users