Server Support Forum
Anzeige:
Postscreen und Blocklisten

Zurück   Server Support Forum > >

Anzeige:

Antwort
 
Themen-Optionen Thema bewerten
  #1  
Alt 20.03.2017, 12:24
rolapp rolapp ist offline
Fan vom SSF
 
Registriert seit: 07.2011
Ort: Erlensee, Hessen
Beiträge: 662
Postscreen und Blocklisten

Kurze Frage mal an die Experten.
habe postscreen mit div Blocklisten installiert.
jetzt habe ich gemerkt das Mails z.B von facebook oder gmail duch Blocklisten gesperrt werden. Habt Ihr das auch schon festgestellt.
Welche Listen sind empfehlenswert?
__________________
Gruß
Steffen
Mit Zitat antworten

  #2  
Alt 20.03.2017, 14:47
Benutzerbild von Joe User
Joe User Joe User ist gerade online
Registered User
 
Registriert seit: 11.2008
Ort: Hamburg
Alter: 38
Beiträge: 3.758
Ich habe postscreen so konfiguriert und fahre damit ganz gut:
Code:
postscreen_bare_newline_action = enforce
postscreen_bare_newline_enable = yes
postscreen_dnsbl_action = enforce
postscreen_dnsbl_sites =
  list.dnswl.org=127.0.[0..255].0*-2
  list.dnswl.org=127.0.[0..255].1*-4
  list.dnswl.org=127.0.[0..255].2*-6
  list.dnswl.org=127.0.[0..255].3*-8
  zen.spamhaus.org=127.0.0.9*25
  zen.spamhaus.org=127.0.0.3*10
  zen.spamhaus.org=127.0.0.2*5
  zen.spamhaus.org=127.0.0.[4..7]*3
  zen.spamhaus.org=127.0.0.[10..11]*3
  swl.spamhaus.org*-10
  bl.mailspike.net=127.0.0.2*10
  bl.mailspike.net=127.0.0.10*5
  bl.mailspike.net=127.0.0.11*4
  bl.mailspike.net=127.0.0.12*3
  bl.mailspike.net=127.0.0.13*2
  bl.mailspike.net=127.0.0.14*1
  wl.mailspike.net=127.0.0.16*-2
  wl.mailspike.net=127.0.0.17*-4
  wl.mailspike.net=127.0.0.18*-6
  wl.mailspike.net=127.0.0.19*-8
  wl.mailspike.net=127.0.0.20*-10
  backscatter.spameatingmonkey.net*2
  bl.ipv6.spameatingmonkey.net*2
  bl.spameatingmonkey.net*2
  ix.dnsbl.manitu.net*2
  bl.spamcop.net*2
  db.wpbl.info*2
  psbl.surriel.com*2
  torexit.dan.me.uk*2
  tor.dan.me.uk*1
  safe.dnsbl.sorbs.net*1
postscreen_dnsbl_threshold = 5
postscreen_dnsbl_whitelist_threshold = 0
postscreen_greet_action = enforce
postscreen_non_smtp_command_enable = yes
postscreen_pipelining_enable = yes
Die smtpd_*_restrictions müssen natürlich auch passen.
__________________
PayPal.Me/JoeUserWings for LifeWings for Life World Run
RootForum CommunityRootForum FacebookRootForum TwitterFreeBSD Remote Installation

„If there’s more than one possible outcome of a job or task, and one of those outcomes will result in disaster or an undesirable consequence, then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

Geändert von Joe User (08.04.2017 um 02:12 Uhr)
Mit Zitat antworten
  #3  
Alt 20.03.2017, 15:11
rolapp rolapp ist offline
Fan vom SSF
 
Registriert seit: 07.2011
Ort: Erlensee, Hessen
Beiträge: 662
cbl.abuseat.org*2 der hat mir gestern gmail ausgefiltert. Nach dem ich die Liste auskommentiert habe ist die Mail angekommen.
Habe eigentlich so konfiguriert wie du geschrieben hast.
Mit Zitat antworten
  #4  
Alt 20.03.2017, 15:49
Benutzerbild von Joe User
Joe User Joe User ist gerade online
Registered User
 
Registriert seit: 11.2008
Ort: Hamburg
Alter: 38
Beiträge: 3.758
Wenn Du den threshold auch auf 5 hast, können die 2 von abusenet nicht der alleinige Grund sein. Und wenn Du auch noch die Whitelists mit drin hast, dann kann gmail dank der -20 bis -30 aus den Whitelists gar nicht gefiltert werden, da immer mindestens -4 übrig bleiben.
__________________
PayPal.Me/JoeUserWings for LifeWings for Life World Run
RootForum CommunityRootForum FacebookRootForum TwitterFreeBSD Remote Installation

„If there’s more than one possible outcome of a job or task, and one of those outcomes will result in disaster or an undesirable consequence, then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Mit Zitat antworten
  #5  
Alt 20.03.2017, 16:21
rolapp rolapp ist offline
Fan vom SSF
 
Registriert seit: 07.2011
Ort: Erlensee, Hessen
Beiträge: 662
Ich poste später mal den Auszug aus der log datei.
Danke schon mal
Mit Zitat antworten
  #6  
Alt 20.03.2017, 20:19
Benutzerbild von Joe User
Joe User Joe User ist gerade online
Registered User
 
Registriert seit: 11.2008
Ort: Hamburg
Alter: 38
Beiträge: 3.758
Poste bei der Gelegenheit auch gleich Deine postscreen_* und smtpd_*_restrictions zum Vergleich.
__________________
PayPal.Me/JoeUserWings for LifeWings for Life World Run
RootForum CommunityRootForum FacebookRootForum TwitterFreeBSD Remote Installation

„If there’s more than one possible outcome of a job or task, and one of those outcomes will result in disaster or an undesirable consequence, then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Mit Zitat antworten
  #7  
Alt 22.03.2017, 10:02
rolapp rolapp ist offline
Fan vom SSF
 
Registriert seit: 07.2011
Ort: Erlensee, Hessen
Beiträge: 662
Hallo Joe User

Das lag wohl nicht an postscreen selber, sondern am eingeschaltetem Greylisting für die Email-Adresse.

Bei der Blocklist habe ich mich vertan, das war der Whitelist Eintrag wl.mailspike.net wie ich jetzt auf den anderen gekommen bin Keine Ahnung.

Ich bin ein bisschen durcheinander gekommen wegen der Fehlermeldung
Code:
postfix/postscreen[1446]: NOQUEUE: reject: RCPT from [209.85.214.51]:38428: 450 4.3.2 Service currently unavailable; from=<sender@googlemail.com>, to=<empfänger@empfänger.de>, proto=ESMTP, helo=<mail-it0-f51.google.com>
Die großen Provider nehmen dann auch immer einen anderen Server mit anderer IP und da geht das Greylisting wieder von vorn los. Das war wahrscheinlich der Grund warum das am Sonntag nicht ging. Heute kamen die Mails direkt.

Na ja, man kann es mit dem Spamschutz auch übertreiben.

Danke für deine Hilfe.
__________________
Gruß
Steffen
Mit Zitat antworten
  #8  
Alt 22.03.2017, 12:23
Benutzerbild von Joe User
Joe User Joe User ist gerade online
Registered User
 
Registriert seit: 11.2008
Ort: Hamburg
Alter: 38
Beiträge: 3.758
postscreen macht selbst effektives Greylisting, da brauchst Du kein extra Tool mehr. Ein extra Tool würde auch zu einem doppelten Greylisting und damit mindestens doppelter Freigabezeit führen.
Gleiches gilt auch für Black/Whitelists.

postscreen ist somit auch ein vollwertiger, effektiver, sauberer, leichtgewichtiger und OOTB funkionierender Ersatz für Amavis und Co.
__________________
PayPal.Me/JoeUserWings for LifeWings for Life World Run
RootForum CommunityRootForum FacebookRootForum TwitterFreeBSD Remote Installation

„If there’s more than one possible outcome of a job or task, and one of those outcomes will result in disaster or an undesirable consequence, then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Mit Zitat antworten
  #9  
Alt 22.03.2017, 18:02
XioniX XioniX ist offline
Registered User
 
Registriert seit: 08.2006
Beiträge: 288
Habe in den letzten Wochen/Monaten auch immer wieder offensichtlichen Spam (Gener...ika, usw..), der über Mailspike WL durchkommt und werde diese WL wohl demnächst wieder rausnehmen.
Mit Zitat antworten
  #10  
Alt 25.03.2017, 10:53
Domi Domi ist offline
Registered User
 
Registriert seit: 07.2008
Ort: Hannover
Alter: 33
Beiträge: 772
Zitat:
Zitat von Joe User Beitrag anzeigen
Die smtpd_*_restrictions müssen natürlich auch passen.
Moin, da ich ja durch mein anderes Topic auf der Suche nach Lösungen und Ansätze von anderen Usern bin und gerne schaue, wie sie dem Spam entgegen gehen würde mich interessieren wie du deine smtpd restrictions aufgebaut hast

Eine meiner restrictions sieht aktuell wie folgt aus...
Code:
smtpd_recipient_restrictions =
 permit_mynetworks,
 permit_sasl_authenticated,
 reject_invalid_hostname,
 reject_non_fqdn_hostname,
 reject_non_fqdn_sender,
 reject_non_fqdn_recipient,
 reject_unauth_destination,
 reject_unauth_pipelining,
 reject_unknown_sender_domain,
 reject_unknown_reverse_client_hostname,
 reject_unknown_helo_hostname,
 check_recipient_access mysql:/etc/postfix/mysql-virtual_recipient.cf,
 check_policy_service inet:127.0.0.1:10023
Über Port 10023 läuft 'postgrey', falls jemand nicht weiß für was der da ist.

Gruß, Domi
__________________
Betrieblich: 2x vServer, 1x root-Server
Privat: 1x root-Server, 1x home-Server
Distribution: Debian Jessie, Ubuntu Precise / Trusty / Xenial
Mit Zitat antworten
  #11  
Alt 25.03.2017, 12:52
Benutzerbild von Joe User
Joe User Joe User ist gerade online
Registered User
 
Registriert seit: 11.2008
Ort: Hamburg
Alter: 38
Beiträge: 3.758
Alle smtpd_*_restrictions versuchen unter smtpd_recipient_restrictions zusammenzufassen hat man vielleicht noch vor zehn Jahren gemacht, das ist allerdings falsch und sehr fehleranfällig. Die verschiedenen smtpd_*_restrictions sollte man strikt trennen, das trägt nicht nur zur Reduzierung der potentiellen Konfigurationsfehler bei, sondern erhöht auch die Flexibilität und Lesbarkeit.


Ich verwende folgende Konfiguration für Postfix 3.1.4 (Milter: opendkim, opendmarc):

main.cf
Code:
allow_percent_hack = no
always_add_missing_headers = yes
biff = no
compatibility_level = 2
data_directory = /var/lib/postfix
disable_vrfy_command = yes
dovecot_destination_recipient_limit = 1
enable_long_queue_ids = yes
fast_flush_domains =
home_mailbox = .maildir/
inet_interfaces = all
inet_protocols = all
lmtp_tls_fingerprint_digest = sha1
local_header_rewrite_clients = permit_mynetworks permit_sasl_authenticated
mail_spool_directory = /var/vmail
mailbox_size_limit = 0
masquerade_domains = $mydomain
masquerade_exceptions = root mailer-daemon
message_size_limit = 0
mydestination = $myhostname localhost.$mydomain localhost
mydomain = example.com
myhostname = mail.$mydomain
mynetworks_style = host
notify_classes = data protocol resource software
openssl_path = /usr/bin/openssl
postscreen_bare_newline_action = enforce
postscreen_bare_newline_enable = yes
postscreen_dnsbl_action = enforce
postscreen_dnsbl_sites =
  list.dnswl.org=127.0.[0..255].0*-2
  list.dnswl.org=127.0.[0..255].1*-4
  list.dnswl.org=127.0.[0..255].2*-6
  list.dnswl.org=127.0.[0..255].3*-8
  zen.spamhaus.org=127.0.0.9*25
  zen.spamhaus.org=127.0.0.3*10
  zen.spamhaus.org=127.0.0.2*5
  zen.spamhaus.org=127.0.0.[4..7]*3
  zen.spamhaus.org=127.0.0.[10..11]*3
  swl.spamhaus.org*-10
  bl.mailspike.net=127.0.0.2*10
  bl.mailspike.net=127.0.0.10*5
  bl.mailspike.net=127.0.0.11*4
  bl.mailspike.net=127.0.0.12*3
  bl.mailspike.net=127.0.0.13*2
  bl.mailspike.net=127.0.0.14*1
  wl.mailspike.net=127.0.0.16*-2
  wl.mailspike.net=127.0.0.17*-4
  wl.mailspike.net=127.0.0.18*-6
  wl.mailspike.net=127.0.0.19*-8
  wl.mailspike.net=127.0.0.20*-10
  backscatter.spameatingmonkey.net*2
  bl.ipv6.spameatingmonkey.net*2
  bl.spameatingmonkey.net*2
  ix.dnsbl.manitu.net*2
  bl.spamcop.net*2
  db.wpbl.info*2
  psbl.surriel.com*2
  torexit.dan.me.uk*2
  tor.dan.me.uk*1
  safe.dnsbl.sorbs.net*1
postscreen_dnsbl_threshold = 5
postscreen_dnsbl_whitelist_threshold = 0
postscreen_greet_action = enforce
postscreen_non_smtp_command_enable = yes
postscreen_pipelining_enable = yes
queue_directory = /var/spool/postfix
recipient_delimiter = +
remote_header_rewrite_domain = domain.invalid
show_user_unknown_table_name = no
smtp_dns_support_level = enabled
smtp_tls_CAfile = /usr/local/share/certs/ca-root-nss.crt
smtp_tls_ciphers = medium
smtp_tls_exclude_ciphers = CAMELLIA SEED IDEA RC2 RC4 aDSS kECDHe kECDHr kDHd kDHr eNULL aNULL MEDIUM LOW EXPORT
smtp_tls_fingerprint_digest = sha1
smtp_tls_loglevel = 1
smtp_tls_mandatory_ciphers = medium
smtp_tls_mandatory_exclude_ciphers = CAMELLIA SEED IDEA RC2 RC4 aDSS kECDHe kECDHr kDHd kDHr eNULL aNULL MEDIUM LOW EXPORT
smtp_tls_note_starttls_offer = yes
smtp_tls_security_level = may
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtpd_client_port_logging = yes
smtpd_client_restrictions =
  sleep 1
  permit
smtpd_data_restrictions =
  reject_unauth_pipelining
  reject_multi_recipient_bounce
  permit
smtpd_end_of_data_restrictions =
  permit
smtpd_etrn_restrictions =
  reject
smtpd_helo_required = yes
smtpd_helo_restrictions =
  permit_mynetworks
  permit_sasl_authenticated
  reject_invalid_helo_hostname
  reject_non_fqdn_helo_hostname
  permit
smtpd_milters = inet:127.0.0.1:8891 inet:127.0.0.1:8893
smtpd_recipient_restrictions =
  permit_mynetworks
  permit_sasl_authenticated
  reject_non_fqdn_recipient
  reject_unknown_recipient_domain
  check_recipient_access pcre:${config_directory}/recipient_checks.pcre
  permit
smtpd_relay_restrictions =
  permit_mynetworks
  permit_sasl_authenticated
  defer_unauth_destination
  permit
smtpd_sasl_auth_enable = yes
smtpd_sasl_authenticated_header = yes
smtpd_sasl_path = private/auth
smtpd_sasl_type = dovecot
smtpd_sender_restrictions =
  reject_non_fqdn_sender
  reject_unknown_sender_domain
  permit
smtpd_tls_auth_only = yes
smtpd_tls_cert_file = /etc/ssl/certs/mail.example.com.crt
smtpd_tls_ciphers = medium
smtpd_tls_exclude_ciphers = CAMELLIA SEED IDEA RC2 RC4 aDSS kECDHe kECDHr kDHd kDHr eNULL aNULL MEDIUM LOW EXPORT
smtpd_tls_fingerprint_digest = sha1
smtpd_tls_key_file = /etc/ssl/private/mail.example.com.key
smtpd_tls_loglevel = 1
smtpd_tls_mandatory_ciphers = medium
smtpd_tls_mandatory_exclude_ciphers = CAMELLIA SEED IDEA RC2 RC4 aDSS kECDHe kECDHr kDHd kDHr eNULL aNULL MEDIUM LOW EXPORT
smtpd_tls_received_header = yes
smtpd_tls_security_level = may
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
strict_rfc821_envelopes = yes
swap_bangpath = no
tls_daemon_random_bytes = 64
tls_high_cipherlist = EECDH+ECDSA+CHACHA20 EECDH+CHACHA20 EECDH+ECDSA+AESGCM EECDH+AESGCM EECDH+ECDSA+AES256 EECDH+AES256 EECDH+ECDSA+AES128 EECDH+AES128 EECDH+ECDSA+3DES EECDH+3DES EDH+CHACHA20 EDH+AESGCM EDH+AES256 EDH+AES128 EDH+3DES
tls_medium_cipherlist = EECDH+ECDSA+CHACHA20 EECDH+CHACHA20 EECDH+ECDSA+AESGCM EECDH+AESGCM EECDH+ECDSA+AES256 EECDH+AES256 EECDH+ECDSA+AES128 EECDH+AES128 EECDH+ECDSA+3DES EECDH+3DES EDH+CHACHA20 EDH+AESGCM EDH+AES256 EDH+AES128 EDH+3DES AESGCM AES256 AES128 3DES
tls_preempt_cipherlist = yes
tls_random_bytes = 64
tls_ssl_options = NO_COMPRESSION
virtual_alias_domains = hash:${config_directory}/virtual_alias_domains
virtual_alias_maps = hash:${config_directory}/virtual_alias_maps
virtual_gid_maps = static:5000
virtual_mailbox_base = /var/vmail
virtual_mailbox_domains = hash:${config_directory}/virtual_mailbox_domains
virtual_mailbox_limit = 0
virtual_mailbox_maps = hash:${config_directory}/virtual_mailbox_maps
virtual_minimum_uid = 5000
virtual_transport = dovecot
virtual_uid_maps = static:5000
master.cf
Code:
smtp      inet  n       -       n       -       1       postscreen
smtpd     pass  -       -       n       -       -       smtpd
dnsblog   unix  -       -       n       -       0       dnsblog
tlsproxy  unix  -       -       n       -       0       tlsproxy
submission inet n       -       n       -       -       smtpd
  -o syslog_name=postfix/submission
  -o smtpd_tls_security_level=encrypt
  -o milter_macro_daemon_name=ORIGINATING
pickup    unix  n       -       n       60      1       pickup
cleanup   unix  n       -       n       -       0       cleanup
qmgr      unix  n       -       n       300     1       qmgr
tlsmgr    unix  -       -       n       1000?   1       tlsmgr
rewrite   unix  -       -       n       -       -       trivial-rewrite
bounce    unix  -       -       n       -       0       bounce
defer     unix  -       -       n       -       0       bounce
trace     unix  -       -       n       -       0       bounce
verify    unix  -       -       n       -       1       verify
flush     unix  n       -       n       1000?   0       flush
proxymap  unix  -       -       n       -       -       proxymap
proxywrite unix -       -       n       -       1       proxymap
smtp      unix  -       -       n       -       -       smtp
relay     unix  -       -       n       -       -       smtp
showq     unix  n       -       n       -       -       showq
error     unix  -       -       n       -       -       error
retry     unix  -       -       n       -       -       error
discard   unix  -       -       n       -       -       discard
local     unix  -       n       n       -       -       local
virtual   unix  -       n       n       -       -       virtual
lmtp      unix  -       -       n       -       -       lmtp
anvil     unix  -       -       n       -       1       anvil
scache    unix  -       -       n       -       1       scache
dovecot   unix  -       n       n       -       -       pipe
  flags=DRhu user=vmail:vmail argv=/usr/libexec/dovecot/dovecot-lda
  -f ${sender} -a ${recipient} -d ${user}@${nexthop}
recipient_checks.pcre
Code:
/^\@/             550 Invalid address format.
/[!%\@].*\@/      550 This server disallows weird address syntax.
/^postmaster\@/   OK
/^hostmaster\@/   OK
/^security\@/     OK
/^abuse\@/        OK
/^admin\@/        OK
Das erschlägt zwar nicht alle Spams, aber mit den aktuell circa 1%-2% durchschlüpfenden Spam kann ich durchaus leben.
__________________
PayPal.Me/JoeUserWings for LifeWings for Life World Run
RootForum CommunityRootForum FacebookRootForum TwitterFreeBSD Remote Installation

„If there’s more than one possible outcome of a job or task, and one of those outcomes will result in disaster or an undesirable consequence, then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

Geändert von Joe User (08.04.2017 um 02:11 Uhr)
Mit Zitat antworten
  #12  
Alt 25.03.2017, 16:36
Domi Domi ist offline
Registered User
 
Registriert seit: 07.2008
Ort: Hannover
Alter: 33
Beiträge: 772
Woa, hammer... vielen dank! Ich glaube da kann ich ganz viel optimieren. Was mir aufgefallen ist, bezüglich dkim schaut dein Postfix auch schon nach. Heißt das, wenn ich dir jetzt von meinem Server eine E-Mail zusenden würde, wäre die im Trash oder SPAM, weil meine Domain noch kein DKIM kann?

Meine Domains sind nämlich bei INWX und wenn ich mich nicht irre, kann ich da noch kein DKIM hinterlegen. Zumindest hatte ich nur SPF gefunden, mehr aber nicht.

Was den SPAM an sich angeht... seit ein paar Wochen bekomme ich oft solche Dinger wie "sie brauchen eine Versicherung" und die kommen trotz aktivierter greylist durch. Daher bin ich wieder dabei zu gucken was andere Leute so gegen den SPAM unternehmen

Bezüglich der smtpd restrictions bin ich immer etwas vorsichtig... Klar macht es Sinn, helo oder recipient zu trennen, die würde ich sogar noch vom Ansatz komplett verstehen. Da aber das eine oder das andere (vom Verständnis her) gleicht, war ich der Meinung das weniger, etwas mehr ist. Gerade im Bezug auf recipient und client... relay sowie data wäre auch noch selbsterklärend, wollte nun aber nicht so viel einstellen das ich auf einmal alles dicht mache. Bin da auch etwas vorsichtig (oder zu vorsichtig).

Gruß, Domi

Nachtrag: Eines ist mir gerade noch eingefallen... Bei uns in der Firma könnte ich (glaube ich) diesen smtpd_sender_restrictions = reject_non_fqdn_sender gar nicht verwenden, weil eine Firma mit der wir in Kontakt stehen über ihren ms01.firma.int (so nennt sich der Server beim HELO) E-Mails versendet. Das ist deren Exchange und der steht hinter einer dynamischen IP. Oder gab es für den PTR Check noch eine andere restriction?
__________________
Betrieblich: 2x vServer, 1x root-Server
Privat: 1x root-Server, 1x home-Server
Distribution: Debian Jessie, Ubuntu Precise / Trusty / Xenial

Geändert von Domi (25.03.2017 um 16:52 Uhr)
Mit Zitat antworten
  #13  
Alt 25.03.2017, 16:43
Benutzerbild von nexus
nexus nexus ist offline
Registered User
 
Registriert seit: 06.2011
Beiträge: 1.323
Zitat:
Zitat von Domi Beitrag anzeigen
Meine Domains sind nämlich bei INWX und wenn ich mich nicht irre, kann ich da noch kein DKIM hinterlegen. Zumindest hatte ich nur SPF gefunden, mehr aber nicht.
DKIM (und auch SPF) wird als TXT-Record im DNS hinterlegt. SPF-Records gab es zwar mal als eigenständige Records, die sind aber obsolet geworden und werden von Mailservern eigentlich auch garnicht mehr ausgewertet.
__________________
Ist ein Server das Richtige für mich? -> Entscheidungshilfe und Erste Schritte
Lesenswert für alle Mailserver-Admins -> Best Practice für stressfreie Mailserver
Hier gibt es alle Infos zu Schulferien (Insider wissen, was ich meine ) -> schulferien.org

Geändert von nexus (25.03.2017 um 16:46 Uhr)
Mit Zitat antworten
  #14  
Alt 25.03.2017, 18:50
Benutzerbild von Joe User
Joe User Joe User ist gerade online
Registered User
 
Registriert seit: 11.2008
Ort: Hamburg
Alter: 38
Beiträge: 3.758
Zitat:
Zitat von Domi Beitrag anzeigen
Woa, hammer... vielen dank! Ich glaube da kann ich ganz viel optimieren. Was mir aufgefallen ist, bezüglich dkim schaut dein Postfix auch schon nach. Heißt das, wenn ich dir jetzt von meinem Server eine E-Mail zusenden würde, wäre die im Trash oder SPAM, weil meine Domain noch kein DKIM kann?
opendkim und opendmarc setzen beziehungsweise überprüfen lediglich die entsprechenden Header beziehungsweise DNS-Records, aber sie filtern nicht.
Bei mir sind (abgesehen von postscreen) grundsätzlich die Mailclients fürs Filtern zuständig und nicht der Mailserver. So wie es die RFC für Mail vorgeben.

opendkim.conf
Code:
AuthservID              mail.example.org
AutoRestart             yes
AutoRestartRate         10/1h
Canonicalization        relaxed/relaxed
ExternalIgnoreList      refile:/var/lib/opendkim/trustedhosts
InternalHosts           refile:/var/lib/opendkim/trustedhosts
KeyTable                refile:/var/lib/opendkim/keytable
LogWhy                  yes
Mode                    sv
ReportAddress           "DKIM Error Postmaster" <postmaster@example.org>
SendReports             yes
SignatureAlgorithm      rsa-sha256
SignHeaders             From,Reply-To,To,Cc,In-Reply-To,References,Date,Subject,Content-Type,Content-Transfer-Encoding,MIME-Version
SigningTable            refile:/var/lib/opendkim/signingtable
SMTPURI                 smtp://localhost
Socket                  inet:8891@localhost
SubDomains              yes
Syslog                  yes
TrustAnchorFile         /etc/unbound/root.key
UMask                   022
UserID                  mailnull:mailnull
opendmarc.conf
Code:
AuthservID              mail.example.org
AutoRestart             true
AutoRestartRate         10/1h
FailureReports          true
FailureReportsOnNone    true
FailureReportsSentBy    postmaster@example.org
HistoryFile             /var/lib/opendmarc/opendmarc.dat
IgnoreAuthenticatedClients true
IgnoreHosts             /var/lib/opendmarc/ignorehosts
PublicSuffixList        /usr/share/public_suffix_list/public_suffix_list.dat
RejectFailures          false
Socket                  inet:8893@localhost
SPFIgnoreResults        true
SPFSelfValidate         true
Syslog                  true
TrustedAuthservIDs      mail.example.org
UMask                   022
UserID                  mailnull:mailnull
__________________
PayPal.Me/JoeUserWings for LifeWings for Life World Run
RootForum CommunityRootForum FacebookRootForum TwitterFreeBSD Remote Installation

„If there’s more than one possible outcome of a job or task, and one of those outcomes will result in disaster or an undesirable consequence, then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

Geändert von Joe User (08.04.2017 um 02:15 Uhr)
Mit Zitat antworten
  #15  
Alt 25.03.2017, 19:27
Benutzerbild von Joe User
Joe User Joe User ist gerade online
Registered User
 
Registriert seit: 11.2008
Ort: Hamburg
Alter: 38
Beiträge: 3.758
Zitat:
Zitat von Domi Beitrag anzeigen
Bezüglich der smtpd restrictions bin ich immer etwas vorsichtig... Klar macht es Sinn, helo oder recipient zu trennen, die würde ich sogar noch vom Ansatz komplett verstehen. Da aber das eine oder das andere (vom Verständnis her) gleicht, war ich der Meinung das weniger, etwas mehr ist. Gerade im Bezug auf recipient und client... relay sowie data wäre auch noch selbsterklärend, wollte nun aber nicht so viel einstellen das ich auf einmal alles dicht mache. Bin da auch etwas vorsichtig (oder zu vorsichtig).
Wann welche smtpd_*_restrictions zum Tragen kommen, steht in http://www.postfix.org/SMTPD_ACCESS_README.html


Zitat:
Zitat von Domi Beitrag anzeigen
Nachtrag: Eines ist mir gerade noch eingefallen... Bei uns in der Firma könnte ich (glaube ich) diesen smtpd_sender_restrictions = reject_non_fqdn_sender gar nicht verwenden, weil eine Firma mit der wir in Kontakt stehen über ihren ms01.firma.int (so nennt sich der Server beim HELO) E-Mails versendet. Das ist deren Exchange und der steht hinter einer dynamischen IP. Oder gab es für den PTR Check noch eine andere restriction?
Die jeweils gültigen Restrictions und ihre Wirkung ist in der Doku an folgenden Stellen beschrieben:
http://www.postfix.org/postconf.5.ht...t_restrictions
http://www.postfix.org/postconf.5.ht...o_restrictions
http://www.postfix.org/postconf.5.ht...r_restrictions
http://www.postfix.org/postconf.5.ht...t_restrictions
http://www.postfix.org/postconf.5.ht...y_restrictions
http://www.postfix.org/postconf.5.ht...a_restrictions
http://www.postfix.org/postconf.5.ht...a_restrictions
http://www.postfix.org/postconf.5.ht...n_restrictions
__________________
PayPal.Me/JoeUserWings for LifeWings for Life World Run
RootForum CommunityRootForum FacebookRootForum TwitterFreeBSD Remote Installation

„If there’s more than one possible outcome of a job or task, and one of those outcomes will result in disaster or an undesirable consequence, then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Mit Zitat antworten
Antwort

Lesezeichen


Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist aus.
HTML-Code ist aus.

Gehe zu


Postscreen und Blocklisten
Postscreen und Blocklisten
Postscreen und Blocklisten Postscreen und Blocklisten
Powered by vBulletin® Version 3.8.10 (Deutsch)
Copyright ©2000 - 2017, vBulletin Solutions, Inc.
Search Engine Optimisation provided by DragonByte SEO (Pro) - vBulletin Mods & Addons Copyright © 2017 DragonByte Technologies Ltd.