Postfix: Positionierung von RBL Abfragen

Debian macht sich hervorragend als Web- und Mailserver. Schau auch in den " Tipps und Tricks"-Bereich.
Antworten
Benutzeravatar
Knorkator
Beiträge: 55
Registriert: 11.10.2004 13:00:19

Postfix: Positionierung von RBL Abfragen

Beitrag von Knorkator » 11.03.2024 17:15:44

Hallo zusammen,

die Jungs von spamhaus.com haben in der Dokumentation https://docs.spamhaus.com/datasets/docs ... stfix.html folgendes hinterlegt:
To correctly configure Postfix, make changes to the main.cf file. This is usually located under /etc/postfix. Open the file and locate the section smtpd_recipient_restrictions. Configure it as follows:

smtpd_recipient_restrictions =
...
reject_rbl_client your_DQS_key.zen.dq.spamhaus.net=127.0.0.[2..11]
reject_rhsbl_sender your_DQS_key.dbl.dq.spamhaus.net=127.0.1.[2..99]
reject_rhsbl_helo your_DQS_key.dbl.dq.spamhaus.net=127.0.1.[2..99]
reject_rhsbl_reverse_client your_DQS_key.dbl.dq.spamhaus.net=127.0.1.[2..99]
reject_rhsbl_sender your_DQS_key.zrd.dq.spamhaus.net=127.0.2.[2..24]
reject_rhsbl_helo your_DQS_key.zrd.dq.spamhaus.net=127.0.2.[2..24]
reject_rhsbl_reverse_client your_DQS_key.zrd.dq.spamhaus.net=127.0.2.[2..24]
...
We recommend putting these lines at the top of the smtpd_recipient_restrictions section.
Mir ist das bei einem anderen Blog schonmal untergekommen, dass die Einträge da, für mich widersprüchlich, positioniert sind.
In der Postfix Dokumentation sind die client/sender/helo Abfragen nur in den dazu passenden Bereichen aufgeführt.

reject_rbl_client gehört doch in die smtpd_client_restrictions
reject_rhsbl_sender gehört in die smtpd_sender_restrictions
reject_rhsbl_helo gehört in die smtpd_helo_restrictions
usw.

Kann mich da jemand aufschlauen?

Sollte das ganze nicht so aufgebaut sein?

Code: Alles auswählen

smtpd_client_restrictions=
...
reject_rbl_client your_DQS_key.zen.dq.spamhaus.net=127.0.0.[2..11]
reject_rhsbl_reverse_client your_DQS_key.dbl.dq.spamhaus.net=127.0.1.[2..99]
reject_rhsbl_reverse_client your_DQS_key.zrd.dq.spamhaus.net=127.0.2.[2..24]
...

smtpd_helo_restrictions=
...
reject_rhsbl_helo your_DQS_key.dbl.dq.spamhaus.net=127.0.1.[2..99]
reject_rhsbl_helo your_DQS_key.zrd.dq.spamhaus.net=127.0.2.[2..24]
...

smtpd_sender_restrictions=
...
reject_rhsbl_sender your_DQS_key.zrd.dq.spamhaus.net=127.0.2.[2..24]
reject_rhsbl_sender your_DQS_key.dbl.dq.spamhaus.net=127.0.1.[2..99]
...
Vielen Dank!
Nach oben
Benutzeravatar
whisper
Beiträge: 3193
Registriert: 23.09.2002 14:32:21
Lizenz eigener Beiträge: GNU Free Documentation License
Kontaktdaten:

Re: Postfix: Positionierung von RBL Abfragen

Beitrag von whisper » 27.03.2024 11:52:44

Ich bin nicht der Experte, meine Reihenfolge ist so:

Code: Alles auswählen

smtpd_relay_restrictions
smtpd_recipient_restrictions
proxy_read_maps
smtpd_helo_restrictions
smtpd_sender_restrictions
smtpd_client_restrictions
smtpd_etrn_restrictions
smtpd_data_restrictions
Die ist von der vorgebenen ISPConfig installation.
Matcht ja mit deiner, wenn ich das so sehe
Nach oben
Benutzeravatar
Knorkator
Beiträge: 55
Registriert: 11.10.2004 13:00:19

Re: Postfix: Positionierung von RBL Abfragen

Beitrag von Knorkator » 29.03.2024 06:42:16

Vielen Dank für Deine Antwort.

Ich bin inzwischen etwas weiter.
Habe mir vor längerer Zeit mal das Postfixbuch von Peer Heinlein bestellt und es mal vom Dachboden geholt.
Dort wird beschrieben, dass Postfix eh alle Restrictions durchläuft, bevor die Nachricht abgewiesen wird.
Empfehlung ist hier, dass man alle Restrictions in der smtpd_recipient_restrictions unterbringen soll.
Also zumindest client/helo/sender/recipient - Da die Lösung öffentlich verfügbar ist, kann ich sie ja auch hier posten denke ich.
https://www.postfixbuch.de/downloadscri ... muster.txt

Ich kann nicht sagen, wie aktuell die Lösung aus dem Jahr 2008 (zumindest ist das die letzte Ausgabe vom Buch), jedoch habe ich es bei mir mal ausprobiert (ist nur ein privater Postfix) und das Ergebnis sieht bei mir so aus:

Code: Alles auswählen

smtpd_recipient_restrictions= check_recipient_access hash:/etc/postfix/pf_access_recipient-rfc,
# Unsere Netzwerke sowie angemeldete Nutzer erlauben
 permit_sasl_authenticated,
 permit_mynetworks,
# White und Blacklisting
 check_client_access hash:/etc/postfix/pf_access_client,
 check_helo_access hash:/etc/postfix/pf_access_helo,
 check_sender_access hash:/etc/postfix/pf_access_sender,
 check_recipient_access hash:/etc/postfix/pf_relay_blocked_recipients,
# Keine unsauberen Mails annehmen
 reject_non_fqdn_sender,
 reject_non_fqdn_recipient,
 reject_unknown_helo_hostname,
 reject_non_fqdn_helo_hostname,
 reject_non_fqdn_hostname,
 reject_invalid_helo_hostname,
 reject_unknown_client_hostname,
 reject_unauth_pipelining,
 reject_unknown_reverse_client_hostname,
 reject_unknown_sender_domain,
 reject_unknown_recipient_domain,
# RBL Checken
 reject_rbl_client xxxxxxxxxxxxxxxxxxxxxxx.zen.dq.spamhaus.net=127.0.0.[2..11],
 reject_rhsbl_reverse_client xxxxxxxxxxxxxxxxxxxxxxx.zrd.dq.spamhaus.net=127.0.2.[2..24],
 reject_rhsbl_helo xxxxxxxxxxxxxxxxxxxxxxx.zrd.dq.spamhaus.net=127.0.2.[2..24],
 reject_rhsbl_helo xxxxxxxxxxxxxxxxxxxxxxx.dbl.dq.spamhaus.net=127.0.1.[2..99],
 reject_rhsbl_sender xxxxxxxxxxxxxxxxxxxxxxx.dbl.dq.spamhaus.net=127.0.1.[2..99],
# Policy-Weight (Seite 212 aus dem Postfix Buch)
# check_policy_service inet:127.0.0.1:12525
# Greylisting checken!
# check_policy_service inet:127.0.0.1:10023
# Wir prüfen dynamisch auf existente Relay-Empfänger
# Backup MX erlauben!
# permit_mx_backup,
# Alles andere Relaying verbieten
 reject_unauth_destination,
# Was hier ankommt, darf durch
 permit
Ich bin noch nicht mit allen Punkten fertig und eventuell gibt es hier noch etwas zu verbessern.
Nach oben
Antworten

Zurück zu „Web- und Mailserver“