Frage, Postfix smtpd restrictions

[Domi]

Hallo Leute, ich habe da mal eine kleine Frage an euch und vielleicht könnt ihr mir da helfen. Ich habe mit meinem gebrochenen Englisch die Postfix Config Parameter durch geschaut und suche etwas...

Besteht die Möglichkeit, ein einzelnes Postfach (oder mehrere) von den RBLs auszuschließen? Ich habe gesehen, dass ich mit dem Parameter "check_client_a_access" sagen kann das eine Absender permanent durch darf oder eben permanent abgelehnt werden soll.

Ich würde aber gerne dem Postfix sagen, dass der Empfänger "bla@domain.tld" auch Mails empfangen kann / darf, noch bevor die RBL zum Einsatz kommen. Ich hoffe mal, dass wird auch über die "smtpd_recipient_restrictions" reguliert. Aktuell sieht diese wie folgt aus,

smtpd_recipient_restrictions =
 permit_mynetworks,
 permit_sasl_authenticated,
 reject_unauth_destination,
 check_recipient_access mysql:/etc/postfix/mysql-virtual_recipient.cf,
 check_policy_service inet:127.0.0.1:10023,
 reject_rbl_client bl.spamcop.net,
 reject_rbl_client cbl.abuseat.org,
 reject_rbl_client ix.dnsbl.manitu.net,
 reject_rbl_client zen.spamhaus.org

Grund der Anfrage ist, dass gestern ein Kunde von mir eine Mail eine Mail nicht zustellen konnte von seiner T-Online Adresse da diese Aufgrund der RBL von bl.spamcop.net abgelehnt wurde

Nun würde ich also auf meiner Domain so etwas wie "nospam@domain.tld" anlegen, wo man in solchen Fällen trotzdem eine Mail hin versenden kann.

Gibt es so etwas?

Gruß, Domi

p.s. Kann man die restriction noch sinnvoll erweitern, oder ist diese so gut?

p.p.s. Ich habe ISPconfig auf dem Server, weiß auch jemand wo sich der Baustein befindet der mir die smtpd_recipient_restrictions neu schreibt, sobald ich im ISPconfig etwas verändere?! Er rückt mir die ganzen Parameter in eine einzig Zeile und wenn ich etwas verändere, muss ich "check_policy_service" händisch nachtragen. Das würde ich gerne besser lösen

 

[d4f]

Ja, das lässt sich über check_recipient_access mit dem Keyword permit_auth_destination lösen.

Allerdings sei gesagt dass ich absolut davon abraten würde einer einzelnen RBL zu vertrauen, und nur bei Bestätigung von mindestens 2 RBL die Email zu verweigern. Krux an der Sache ist dass Postfix dies gar nicht kann und du auf entweder Spamassassin oder, einfacher, Policyd-weight zurückgreifen musst.
Vorteil an policyd-weight gegenüber der üblichen Spamassassin-Einbindung ist dass policyd die Email ablehnt und somit der Absender informiert wird - was rechtlich und technisch korrekt(er) ist.

Nun würde ich also auf meiner Domain so etwas wie "nospam@domain.tld" anlegen, wo man in solchen Fällen trotzdem eine Mail hin versenden kann.

Viel Spaß bei der Lektüre!

 

[Joe User]

Allerdings sei gesagt dass ich absolut davon abraten würde einer einzelnen RBL zu vertrauen, und nur bei Bestätigung von mindestens 2 RBL die Email zu verweigern. Krux an der Sache ist dass Postfix dies gar nicht kann

Ich weiss ja nicht wie uralt Dein Postfix ist, aber halbwegs aktuelle Versionen können das OOTB (Hint: postscreen).

 

[kancu]

postscreen_dnsbl_sites (empty)
Optional list of DNS white/blacklist domains, filters and weight
factors.

postscreen_dnsbl_threshold (1)
The inclusive lower bound for blocking a remote SMTP client,
based on its combined DNSBL score as defined with the
postscreen_dnsbl_sites parameter.

postscreen_dnsbl_sites
postscreen_dnsbl_threshold

 

[Domi]

Okay, dass sind ja schon mal ein paar Informationen
@Joe User, ich verwende den Postfix aus den Ubuntu Quellen und habe "v2.11.0-1ubuntu1" installiert. Da müsste ich mal schauen ob ich etwas zu OOTB finde.

@d4f, die Absender werden ja informiert...

Remote-MTA: dns; rsrv03.domain.tld <http://rsrv03.domain.tld>
Diagnostic-Code: smtp; 554 5.7.1 Service unavailable; Client host [194.25.134.18] blocked using bl.spamcop.net <http://bl.spamcop.net>; Blocked - see http://www.spamcop.net/bl.shtml?194.25.134.18

wenn ich dich also richtig verstanden habe, sollte man die RBLs aus der main.cf entfernen und diese via policyd-weight prüfen lassen und das dann so einstellen, dass er IPs ablehnt die in mindestens zwei RBLs auftauchen, korrekt?

Gruß, Domi

 

[d4f]

aber halbwegs aktuelle Versionen können das OOTB

Ich definiere eine Blockierung von Mailclients als "nicht funktionieren".
Postscreen sitzt vor der Authentisierung, verweigert also das Versenden von Emails durch legitimierte User wenn die Blacklists anschlagen. Da so ziemlich jeder DSL-Provider auf entsprechenden Blacklists steht (und auch richtig) ist das problematisch.

Klar, authentisierte User sollen SMTP-Submission verwenden. Aber erklär das doch bitte einer den Mailclient-Hersteller mit deren Default-Port und Programme welche einen Portwechsel gar nicht erst ermöglichen. Übliche legacy-Probleme halt...

 

[d4f]

wenn ich dich also richtig verstanden habe, sollte man die RBLs aus der main.cf entfernen und diese via policyd-weight prüfen lassen und das dann so einstellen, dass er IPs ablehnt die in mindestens zwei RBLs auftauchen, korrekt?

Korrekt, ansonsten riskierst du ein entsprechendes Problem wenn mal wieder eine Blacklist meint einen Mailing-Anbieter zu blockieren. Passiert regelmässig, insbesondere mit Spamcop.

Da müsste ich mal schauen ob ich etwas zu OOTB finde.

OOTB = out-of-the-box (standardmäßig können). Ich empfehle Postscreen jedoch aus oben genannten Gründen nicht.

 

[Domi]

Okay, ich vermute mal Post 6 war komplett auf die Aussage von Joe User bezogen. Ich haben mir eben mal ein paar Texte zu policyd-weight angeschaut und ein HowTo gefunden.

Eigentlich müsste ich am ende meine smtpd_recipient_restrictions so anpassen das die RBLs nicht mehr drin sind und er via check_policy_service den policyd-weight ausführt... gleich nach dem grayling und schon sollte es geklärt sein.

Gibt es eigentlich einen Anbieter im Internet wo man die Funktionalität dann testen kann, oder muss ich da einfach im Log schauen ob irgendwann mal etwas abgelehnt wurde?!

Gruß, Domi

p.s. OOTB = out-of-the-box... Ups, ja daran habe ich irgendwie nicht gedacht...

 

[Joe User]

(Legacy-)Mailclients nutzen per Default weder SSL/TLS noch SMTP-AUTH, von daher muss der User ohnehin manuell konfigurieren und ob er dabei noch 25 auf 587 ändert oder in China fällt ein...

 

[Domi]

Kurzer Nachtrag zu "policyd-weight", es scheint zu funktionieren Zumindest sind jetzt ganz schön viele Einträge in der mail.log ob eine Adresse in irgend einer der Listen drin ist, oder eben nicht. Kann man eigentlich auch von extern testen ob die gesperrten IPs eine Rückmeldung bekommen?

Was die (Legacy-)Mailclients angeht, Thunderbird scheint dann aber keiner zu sein. Der richtet automatisch SMTP Auth ein und verwendet (wenn möglich) den Submission Port. Zumindest bei mir

Gruß, Domi

Nachtrag: Ganz wichtig für die, die das hier irgendwann mal lesen sollten. Wenn man policyd-weight installiert und die Default Config übernimmt, unbedingt den Server "rhsbl.ahbl.org" auskommentieren oder löschen. Der Dienst wurde eingestellt und führt dazu das so ziemlich 95% aller eingehenden Mails als "Treffer" markiert werden und das stört den Empfang ungemein. Alternativ, wer den Eintrag nicht entfernen will (was ich aber nicht rate!!) kann eine Whitelist erstellen.

 

[Domi]

Hallo Leute, ich habe noch eine kleine Frage zu dem Thema. Es funktioniert soweit, sehr zuverlässig. Meine Reihenfolge der "restriction" sieht jetzt wie folgt aus (hoffe das ist korrekt),

smtpd_recipient_restrictions =
	permit_mynetworks,
	permit_sasl_authenticated,
	reject_unauth_destination,
	check_recipient_access mysql:/etc/postfix/mysql-virtual_recipient.cf,
	check_policy_service inet:127.0.0.1:10023,
	check_recipient_access hash:/etc/postfix/policyd_weight_empfaenger_whitelist,
	check_policy_service inet:127.0.0.1:12525

Der Dienst auf Port 10023 ist der "postgrey" und auf Port 12525 lauscht "policyd-weight"

In der Config vom policyd-weight habe ich jetzt folgende RBLs drin...

## DNSBL settings
   @dnsbl_score = (
#    HOST,                    HIT SCORE,  MISS SCORE,  LOG NAME
    'pbl.spamhaus.org',       3.25,          0,        'DYN_PBL_SPAMHAUS',
    'sbl-xbl.spamhaus.org',   4.35,       -1.5,        'SBL_XBL_SPAMHAUS',
    'bl.spamcop.net',         3.75,       -1.5,        'SPAMCOP',
    'ix.dnsbl.manitu.net',    4.35,          0,        'IX_MANITU'
);

## RHSBL settings
   @rhsbl_score = (
    'multi.surbl.org',             4,        0,        'SURBL'
    # 'rhsbl.ahbl.org',            4,        0,        'AHBL'
);

Kann man die Liste noch Sinnvoll erweitern oder sind diese vier DNSBLs und der eine RHSBL schon das "non-plus-ultra"?

Gruß, Domi

 

[d4f]

Hätte ich vorher vorlinken sollen, sorry!
Firewire2002 hat eine gute Konfiguration auf seiner Webseite stehen:
http://www.eisscholle.net/spickzettel/linux/postfix_anti_spam

Mit den 4 bist du schon mal gut, beachte aber zumal bei Spamhaus die Limitierung auf kostenfreier Nutzung.

 

[Domi]

Supi, besten dank. Ich schaue mir das heute Abend mal genauer an
Das abarbeiten der "smtpd restrictions" ist irgendwie immer noch ein Rätsel für mich.

Ich habe auch schon diverse Manuals gelesen und weiß das er die von oben nach unten ab arbeitet, aber manchmal empfinde ich die Reihenfolge der Einträge unlogisch und das konnte mir bis dato nie jemand richtig erklären

Gruß, Domi

Nachtrag: Besten Dank d4f, die Config läuft ohne Probleme. Vielleicht schmeiße ich "postgrey" zum testen einmal raus aus der main.cf und schaue wie sich das Spam Verhalten ändert Ich habe mal irgendwo gelesen das greylisting vor allem anderen mehr Sinn macht, weil es Ressourcen schonender ist, war das richtig?