Re: RBL schlägt an - remote client steht in whitelist

Friedrich Strohmaier frieder at wueste-welle.de
Sa Jul 20 00:22:11 CEST 2019 

Hi Markus, *,

hat bisschen gedauert - da ist was dazwischengekommen - sorry..

Am 06.07.19 um 11:21 schrieb Markus Winkler:
> On 05.07.19 23:15, Friedrich Strohmaier wrote:

>> Ja, und den postfix neu laden lassen - immer wieder.

> OK, wenngleich ich damit erst mal etwas ratlos bin

so gehts mir auch ;o))

> und hoffe, ich habe an Deinem Config-Auszug nix übersehen.

> Was ich Dir generell und um den Fehler evtl. besser eingrenzen zu können,
> empfehlen würde:

> 1) Ersetze mal die ganzen bisher einzelnen smtpd_*_restrictions zumindest
> testhalber/temporär durch _eine_ in dieser Art:

> smtpd_relay_restrictions =
>     permit_sasl_authenticated,
>     permit_mynetworks,
>     check_client_access hash:/etc/postfix/access_client,
>     check_helo_access hash:/etc/postfix/access_helo,
>     check_sender_access hash:/etc/postfix/access_sender,
>     check_recipient_access hash:/etc/postfix/access_recipient,
>     reject_non_fqdn_sender,
>     reject_non_fqdn_recipient,
>     reject_unknown_sender_domain,
>     reject_unknown_recipient_domain,
>     reject_unknown_client_hostname,
>     reject_unauth_destination,
>     reject_unauth_pipelining,
>     reject_invalid_hostname,
>     reject_rbl_client ix.dnsbl.manitu.net,
>     reject_rbl_client hostkarma.junkemailfilter.com=127.0.0.2,
>     permit

nun ja, an dem Mailserver hängt einiges dran und ich fürchte mit einer so
weitreichenden Änderung ein Problem durch das nächste zu ersetzen..

Wenn ich mal einen guten Tag und vergessen habe, dass ich in dieser Sache ein
Feigling bin, dann.. :o))

> und

> 2) splitte Deine bypass_access, wie oben zu sehen, in einzelne Maps auf und
> dort dann _nur_ die patterns der jeweils zu prüfenden Information (host name,
> envelope sender, helo etc.). Ist m. E. gezielter konfigurier-/prüfbar, als
> wenn das alles in einem Topf liegt (gerade wenn man Fehler wie Deinen
> untersuchen will).

nun ja ich gebe freimütig zu, dass die "Mischung" genau darin ihre Ursache hat,
dass die verschiedenen Blöcke bei Einzelbehandlung nicht die Ergebnisse
brachten, die ich erwartet hatte. Ich versteh' wohl nicht gut genug, was genau
da behandelt wird.

Wenn ich im Workshop richtig aufgepasst habe, ist es so, dass innerhalb der
Blöcke die Bedingungen strikt nach Reihenfolge abgearbeitet werden. Das hat bei
meiner Schrotflintenmethode bislang recht gut funktioniert. ;o))

Nochmal zur Erinnerung der Block, der für mich nicht nachvollziehbares Zeug
macht:

smtpd_recipient_restrictions =
	permit_mynetworks
	permit_sasl_authenticated
	check_recipient_access hash:/etc/postfix/bypass_access
	reject_unauth_destination
	reject_unauth_pipelining
	reject_non_fqdn_recipient
	reject_invalid_helo_hostname
	reject_non_fqdn_helo_hostname
	reject_unknown_recipient_domain
	reject_unlisted_recipient
	reject_unknown_address
	reject_rbl_client ix.dnsbl.manitu.net
	reject_rbl_client hostkarma.junkemailfilter.com=127.0.0.2

Ich versteh' nicht, was das Whitelisting an früher Stelle verhindert, aber
später die Blacklist zuschlagen lässt.
Insgeheim hatte ich gehofft, dass ich nur Tomaten auf den Augen habe und
weitere Augenpaare einen offensichtlichen Fehler sehen.

[..]

> Das 'OK' bei den accept actions versuche ich generell zu vermeiden - zu
> schnell ist man dabei ein open relay. Ich schaue immer, dass ich sowas
> verwende:

> whitelist:

> t-online.de                  permit_auth_destination,reject
> 194.25.134.84                permit_auth_destination,reject

> blacklist:

> example.com                  reject

Danke für den Tipp. Werde nachforschen, ob mein betagter Postfix 2.9.6 das
schon kann.

> HTH

auf jeden Fall, auch wenn sich der Tomatenverdacht nicht bestätigt hat :-\

Vielen Danke für's Mitdenken und nochmal sorry für den Verzug
-- 
Friedrich Strohmaier
Koordination AK-Technik
***
Freies Radio Wüste Welle
für Tübingen/Reutlingen
http://www.wueste-welle.de

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 195 bytes
Beschreibung: OpenPGP digital signature
URL         : <https://de.postfix.org/pipermail/postfix-users/attachments/20190720/3627036a/attachment.sig>

Mehr Informationen über die Mailingliste postfix-users