postscreen

[Robert Schetterer]

Am 30.10.2014 um 14:26 schrieb django at nausch.org:
> HI Robert!
> 
> Quoting Robert Schetterer <rs at sys4.de>:
> 
>> "ungewoehnlich" das hier reinzuschreiben...
> 
> Na ja, dafür bin ich bekannt für UNGEWÖHNLICHES! ;)
> 
> Ich binde jeweils nur die Milter ein, die ich benötige, abhängig, ob MTA
> <-> MTA oder MUA -> MSA
> 
>> ausserdem moeglicherweise koennte die Verkettung von "diesen" Miltern zu
>> Problemen fuehren wenn du nicht die letzte postfix version 2.11.3 nutzt
>> aber moeglicherweise ist dir das ja schon klar bzw du hast es im Griff
> 
> Na ja, bis jetzt konnte ich nicht's Erschreckendes feststellen, was aber
> nicht heisst, dass ich ggf. was nicht mitbekommen habe. Und ja, ich
> benutze 2.11.13 Und ausserdem hat ein gewisser "p" von einer sys4 den
> "BASTSCHO-Stempel" auf ein gleichartiges System gedrückt - ergo:
> bastscho! ;)
> 
>> bei einem Test wuerde ich opendmarc  ( oder einfach alle milter )
>> erstmal weglassen,
> 
> Da die bist Dato immer ohne Murren ihren Dienst erledigt hatten, hatte
> ich die einfach weitermitlaufen lassen.
> 
>> selektiv einzusetzen z.b mit milter-manager
> 
> Erzähl, was macht den milter-manager (noch) besser?

die Frage ist was man möchte, man möchte sicher jede Mail nach SPAM und
Viren scannen, ob es sich "lohnt" jede Mail von einem eigenem Milter
nach DMARC und SPF abzuklopfen ist eine andere Frage. Ausserdem muss man
sich entscheiden wer DKIM machen soll AMAVIS kann das ja selbst.

Am Ende möchte man vieleicht möglichst wenig Pishing und SPAM ( Viren
sowieso nicht ) , mit minimaler False Positive Rate bei max Performance
und moeglichst wenig Support.

Klassifizierung wie Amavis es macht ist Fehler toleranter, als Milter
die "hart" Ablehnen, bei DMARC und DKIM milter gibts schon mal
"ungewollte" Ablehnungen was mehrere Grunde hat die im weitesten Sinne
in der Komplexitaet des Standards zu suchen sind.

Der Milter Manager kann selektiv entscheiden z.b an Hand einer regex
fuer welche Ipadresse er welchen Milter anwenden moechte, d.h z.b. nur
fuer typische dyndns reverse dns , den Rest kann man dann z.b AMAVIS
ueberlassen, ich hab es allerdings so noch nicht getestet, sondern bis
jetzt nur nachgelesen.

Von Info Mails an Domain Owner wie es z.b bei DMARC vorgesehen ist,
halte ich auch nicht viel, es ist zwar schoen dass das geht, aber die
Welt hat im Zweifelsfalle schon genug Mail

Alles Genannte ist aber eine "persoenliche" Meinung und sicher nicht der
Stein der Weisen, ausserdem muss man solche Massnahmen immer auf die
entsprechenden Systeme "zuschneidern", gut wenn man schon logs hat und
seine Pappenheimer kennt.

> 
> 
> Servus
> Django



Best Regards
MfG Robert Schetterer

-- 
[*] sys4 AG

http://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München

Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein