Re: Verständnisfrage

Markus Winkler ml at irmawi.de
Do Feb 10 21:15:40 CET 2022 

Hallo Markus,

On 10.02.22 08:55, Papierkorb wrote:
> smtpd_recipient_restrictions =
>      reject_non_fqdn_sender,
>      reject_non_fqdn_recipient,
>      reject_unknown_sender_domain,
>      reject_unknown_recipient_domain,
>      permit_sasl_authenticated,
>      permit_tls_clientcerts,
>      permit_mynetworks,
>      check_sender_access hash:/etc/postfix/absender_kontrolle,
>      check_policy_service inet:127.0.0.1:10023,
>      reject_rbl_client b.barracudacentral.org,
>      reject_rbl_client ix.dnsbl.manitu.net,
>      reject_rbl_client bl.spamcop.net,
>      reject_rbl_client ubl.unsubscore.com,
>      reject_unauth_destination,
>      permit
> 
> 
>>> Feb  8 13:44:40 mail postfix/smtpd[22650]: connect from 
>>> unknown[109.237.100.107]
>>
>> So jemand darf von vornherein gar keine Mail einliefern. Punkt. ;-)
>>
> Welche Maßnahmen könntest Du dazu empfehlen?

wie in den anderen Antworten schon genannt, würde ich 
'reject_unknown_client_hostname' empfehlen.

In einem Setup vor langer Zeit war ich zunächst sehr vorsichtig und hatte 
das erst mal mit:

warn_if_reject reject_unknown_client_hostname

eine Weile beobachtet. Schließlich habe ich das aber doch aktiviert, da ich 
mittlerweile Mails von solchen Systemen einfach nichts mehr annehmen will. 
Wer DNS nicht korrekt einstellt, hat keine Mails zu versenden. IMHO. ;-)
(Und für die allerseltensten Ausnahmen kann man ja immer noch eine 
individuelle Whitelist führen. ;-))

Das ist aber immer eine sehr individuelle Sache. Es gibt Umgebungen, da 
kann man nicht ganz so hart rangehen. Dann könnte man ggf. den Einsatz von 
Policy Daemons in Betracht ziehen, die solche Checks oft ebenfalls 
durchführen, das Ergebnis aber nicht als alleiniges k.o.-Kriterium werten, 
sondern zusammen mit anderen Checks berücksichtigen. Aus diesem Grund 
verwende ich übrigens auch die Blacklists (wie oben in Deiner Config) nicht 
mehr direkt in den Restrictions, sondern nur noch mit Policy Daemons - ein 
Server ist schnell mal unverschuldet auf eine Blacklist geraten und wird 
dann nicht gleich _nur_ deswegen rejected.

Aber wie gesagt: Das ist ganz klar eine Ermessensfrage.

Der von Jürgen erwähnte, nicht ganz so harte Check 
'reject_unknown_reverse_client_hostname' bringt aus _meiner_ Sicht übrigens 
nicht so dolle viel, weil eben doch die meisten Hoster irgendeinen(!) 
Dummy-PTR-Record für ihre ganzen IP-Adressen setzen. Damit schadet dieser 
Check zwar nicht, bringt aber auch keine entscheidende Verbesserung. IMHO. ;-)


Dazu noch eine Anmerkung:

> 1) Macht es dennoch Sinn ein "reject_unauth_destination" zu setzen? Wenn ja, für welchen Fall? 

Aus meiner Sicht: ja. Weil: Damit werden unberechtigte Clients mit Mails an 
Domains, für die der Server nicht zuständig ist, gleich rejected und man 
spart sich weitere Prüfungen.

Viele Grüße
Markus

Mehr Informationen über die Mailingliste postfix-users