XBL Spamhaus greift nicht

Tobi tobster at brain-force.ch
Do Mai 18 16:08:58 CEST 2017 

das Problem kommt mir verdächtig bekannt vor :-)
Es wird vom Design her nicht gehen, zumindest nicht mit dem Postfix
default für smtpd_delay_reject = yes
Denn mit dieser Einstellung wird erst abgelehnt wenn Postfix den RCPT TO
erhalten hat. Den bekommt er aber bei einem SASL Login nicht, zumindest
nicht vor dem Login

Da smtpd_delay_reject = no einige Nachteile hat z.B. dass man die
Envelope Infos der Mail nicht hat, würde ich vorschlagen dafür
postscreen zu verwenden. Pack die XBL Liste in den postscreen [1]. Der
verwirft dann die Verbindung bevor sie an Postfix durchgereicht wird.
Ausserdem sicherstellen dass die legitimen Auth User über Port 587/465
an deinen Server übergeben. Am besten Auth an Port 25 abschalten :-)

[1] http://www.postfix.org/POSTSCREEN_README.html#before_220


Am 18.05.2017 um 12:34 schrieb Ublun:
>
> eigentlich will ich über die Helo restriction die IP's gelistet auf
> xbl.spamhaus.org schon verworfen haben. Ich krieg es aber das nicht
> gebogen. Obwohl gelistet auf xbl.spamhaus.org und die Helo restrition
> da ist, gibt es immer noch SASL LOGIN Fehler.
>
> danke - David
>
> May 18 12:21:07 srv postfix/smtpd[6206]: connect from
> unknown[190.92.84.178]
> May 18 12:21:09 srv postfix/smtpd[6206]: warning:
> unknown[190.92.84.178]: SASL LOGIN authentication failed:
> authentication failure
> May 18 12:21:10 srv postfix/smtpd[6206]: disconnect from
> unknown[190.92.84.178] helo=1 auth=0/1 quit=1 commands=2/3
>
> *190.92.84.178 is not listed in the SBL*
>
> *190.92.84.178 is not listed in the PBL*
>
> *190.92.84.178 is listed in the XBL*, because it appears in: CBL
>
>
> broken_sasl_auth_clients = yes
> # Restrictions
> # nachricht an den entfernten SMTP-Server, wenn er als
> "Spam-Schleuder" erkannt wurde
> default_rbl_reply = $rbl_code RBLTRAP: Sorry, but I decided that you
> are a spammer, you are not welcome here!
> # Zum eigene Wohl nicht ändern ;)
> smtpd_delay_reject = yes
> # Wir wollen begrüßt werden
> smtpd_helo_required = yes
> smtpd_helo_restrictions =
>                         permit_sasl_authenticated
>                         permit_mynetworks
>             reject_unknown_helo_hostname
>             reject_invalid_helo_hostname
>             reject_rhsbl_helo xbl.spamhaus.org
>             permit
>

Mehr Informationen über die Mailingliste postfix-users