Frage, reject eigene Domains von externen Servern

D

Domi

Member
Hallo Leute, ich habe da mal eine kleine Frage an Euch...
Ich habe einen vServer mit Ubuntu bestückt und überlege ob ich die "smtpd_recipient_restrictions" ein wenig frisiere.

Den Server habe ich vergangenes Jahr nach dieser Anleitung eingerichtet und er funktioniert. Alles läuft, keine Probleme, keine Macken etc.

Aktuell sieht die restriction wie folgt aus...
Code: 
smtpd_recipient_restrictions =
 permit_mynetworks,
 permit_sasl_authenticated,
 check_recipient_access mysql:/etc/postfix/mysql-virtual_recipient.cf,
 reject_unauth_destination

Das ist ja nicht gerade viel was darin steht. Ich tu mich mit den restrictions noch ein wenig schwer, aber mit dem "try & error" prinzip habe ich immer ganz gute Fortschritte gemacht. Nun würde ich gerne folgende Parameter dazu packen...
- reject_non_fqdn_sender (ablehnen, wenn der Absender der mich anschreibt oder ich selbst keinen FQDN habe, richtig?)
- reject_non_fqdn_recipient (ablehnen, wenn der Empfänger auf meinem Server oder derjenige den ich anschreibe keinen FQDN hat, richtig?)

Ich vermute mal in dem "check_recipient_access" stehen auch die RBLs drin, die im ISPconfig eingetragen worden sind :)

Nun habe ich aber noch eine Idee im Hinterkopf, und darum auch das Topic... macht es Sinn die eigenen Domains von externen Servern zu verweigern? Sprich, ich habe example1.com, example2.com etc. bei mir im Postfix konfiguriert. Es gibt ja SPAM Systeme die haben als Absender einfach meine Domain eingetragen. Diese würde ich vielleicht auch filtern :D

Wenn ich es hier richtig gesehen habe, muss ich mir "nur" eine "check_sender_access" erstellen und das irgendwie gegenprüfen lassen. Ist das richtig?

Kann man das schon irgendwie mit der SQL Datenbank vom ISPconfig kombinieren und haltet Ihr das für Sinnvoll?

Gruß, Domi
 
Domi said:
Aktuell sieht die restriction wie folgt aus...
Code: 
smtpd_recipient_restrictions =
 permit_mynetworks,
 permit_sasl_authenticated,
 check_recipient_access mysql:/etc/postfix/mysql-virtual_recipient.cf,
 reject_unauth_destination
Click to expand...
Wow, das grenzt an ein kleines Wunder, dass das so überhaupt sinnvoll funktioniert. Je nach dem, was in deiner Datenbank steht, dürftest du entweder gar keine Mails von außen empfangen oder im Gegenteil ein Open-Relay sein. Oder, was ich fast eher vermute, in deiner master.cf stehen noch Overrides drin.

Domi said:
aber mit dem "try & error" prinzip habe ich immer ganz gute Fortschritte gemacht.
Click to expand...
Argl! No! Niemals Try&Error auf einem Server! Deine Errors badest mit großer Wahrscheinlichkeit nicht du aus, sondern alle anderen im Netz in Form von tonnenweise Spam!


Domi said:
Nun würde ich gerne folgende Parameter dazu packen...
- reject_non_fqdn_sender (ablehnen, wenn der Absender der mich anschreibt oder ich selbst keinen FQDN habe, richtig?)
Click to expand...
Schlechte Idee! Alle lokalen Dienste senden ohne FQDN.

Domi said:
Ich vermute mal in dem "check_recipient_access" stehen auch die RBLs drin, die im ISPconfig eingetragen worden sind :)
Click to expand...
Nein. Da steht einfach eine Tabelle mit Nutzern dahinter, die dürfen oder eben nicht. RBLs geht über weitere Dienste a la Amavis oder Policyd-Weight.

Domi said:
Nun habe ich aber noch eine Idee im Hinterkopf, und darum auch das Topic... macht es Sinn die eigenen Domains von externen Servern zu verweigern? Sprich, ich habe example1.com, example2.com etc. bei mir im Postfix konfiguriert. Es gibt ja SPAM Systeme die haben als Absender einfach meine Domain eingetragen. Diese würde ich vielleicht auch filtern :D
Click to expand...
Was soll das denn? Spammer sind doch nicht so doof und spammen dich mit deiner eigenen Domain zu! Wenn du Spam vermeiden willst, nimm Amavis + Spamassasin.

Domi said:
Kann man das schon irgendwie mit der SQL Datenbank vom ISPconfig kombinieren und haltet Ihr das für Sinnvoll?
Click to expand...
Sinnvoll ist a) die Tools zu benutzen, die für das Problem geschaffen wurden (Spam = Amavis + Spamassasin) und b) nichts zu machen, was man nicht versteht.

Ganz grundsätzlich: So naiv am Mailserver rumzuspielen ist hochgradig gefährlich. Es wäre wirklich hilfreich, wenn du dir dieses Buch besorgst und durchliest: http://www.postfixbuch.de/

Allein zum Thema smtpd_recipient_restrictions gibt es dort ein ganzes Kapitel, und das nicht ohne Grund.
 
So, jetzt komme ich endlich mal zum antworten... :)
Das Buch sieht schon mal interessant aus und bei opensourcepress.de gibt es auch eine Leseprobe. Das Problem wird nur sein, so unglaublich das klingt. Laut Amazon etc. ist es für den Anfänger ausgelegt und ich bin definitiv kein Anfänger mehr. Klar, mir fehlen vielleicht ein paar kleinere Basics, dass liegt aber an einer Lese- und Verständnisschwierigkeit. Dadurch treffe ich auch immer wieder in Foren auf die Aussage "ließ das Buch" oder ähnliches. Was mir dann nicht hilft, weil es einfach nicht verstanden wird was da steht.

Darum auch das "Try & Error" oder "learning by doing" Prinzip und das hat auch immer funktioniert. Ich teste auch nie an Produktivsystemen, sondern erst an virtuellen Systemen und so unglaublich das klingt, ich habe noch NIE Ärger mit einem meiner root- oder vServer in den letzten 10 Jahren gehabt :) Die ersten Server hatte ich auch komplett selbst aufgebaut, ohne irgend ein ISPconfig System. Da habe ich händisch in der SQL Datenbank alle Einträge vorgenommen, Benutzer und deren Rechte über die Shell eingetragen damit Apache und das FTP Programm mit den vhosts arbeiten können.

Da aber irgendwann mal der Moment kommt, wo ich die Firma in der ich hauptberuflich arbeite verlassen werde, habe ich einen Server mit ISPConfig bestückt, damit die Kollegen auch gewisse Kleinigkeiten erledigen können. Und ich selbst bin auch schon ein Bisschen faul geworden :D

Aber gut, kommen wir zur eigentlichen Thematik... Ja, es gibt in der master.cf diverse Overrides für den smtpd, die ich aber nicht unbedingt verändern wollte. Nicht das durch ein Update von ISPconfig später wieder alles verstellt wird und es dann Probleme gibt. Wie gesagt, bin faul geworden.

Amavis und Spamassasin ist auch eingerichtet, habe allerdings noch nie darauf geachtet, was passiert wenn SPAM von einem fremden Server mit einer unser eigenen Domains als FROM eintrudelt. Vielleicht ist mir das auch noch nie aufgefallen weil das immer sofort gefiltert wurde :D Der Gedanke mit dieser Idee kam mir auch nur, weil ich mal mit einem MS Exchange solchen Ärger hatte und habe vor kurzem überlegt ob so etwas eine Sinnvolle Lösung ist. Ich will nicht sagen, dass es gut ist... diese Einstellung im Exchange war schon irgendwie echt nervig und blöde, aber war nur eine Frage :)

Aber gut, dann bleibt es so bestehen und vielleicht packe ich postgrey wieder dazu und fertig. Es läuft ja alles, macht keine Fehler, keine Probleme, stellt Mails zu, wehrt SPAM ab und mehr fällt mir jetzt gerade nicht ein :)

Gruß, Domi
 
Domi said:
Laut Amazon etc. ist es für den Anfänger ausgelegt und ich bin definitiv kein Anfänger mehr. Klar, mir fehlen vielleicht ein paar kleinere Basics, dass liegt aber an einer Lese- und Verständnisschwierigkeit. Dadurch treffe ich auch immer wieder in Foren auf die Aussage "ließ das Buch" oder ähnliches. Was mir dann nicht hilft, weil es einfach nicht verstanden wird was da steht.
Click to expand...
Ich bin auch definitiv kein Anfänger mehr. Dennoch gehört das Buch zu den Standard-Werken, die bei uns in der Firma im Bücherregal stehen, weil es einfach sehr tiefgründig beschreibt, was man warum wie macht.
 
Okay, ist ein einschlagendes Argument... :)

Aktuell steht dort, dass die Buch Version vergriffen ist. Das PDF wäre verfügbar. Ich bin ja eigentlich eher so der PDF Typ, aber vermutlich könnte da die Buch Variante interessanter sein. Kannst Du auch etwas über das Dovecot Buch sagen? Das habe ich nämlich auch bei opensourcepress.de gesehen und vielleicht bestelle ich mir das dazu :D

Gruß, Domi
 
You must log in or register to reply here.
Back
Top