postfix smtp_client_restrictions für dip.t-dialin.net ???

[Ice]

Hallo Leute,

ich versuche seit geraumer Zeit in postfix eine smtp_client_restriction Regel zu erstellen, die mir die vielen Virenmails, die von "unvorsichtigen" T-Online Win-Usern verbreitet werden zu blockieren.
Leider funktioniert das bisher nur begrenzt.
Mein bisheriger Ansatz:
in main.cf

smtpd_client_restrictions =
 check_client_access hash:/usr/local/etc/postfix/access

in /usr/local/etc/postfix/access

dip.t-dialin.net        DISCARD

Scheint aber nicht wirklich zu funktionieren, denn solche Meldungen kommen nachwievor durch:

According to the 'Received:' trace, the message originated at:
jjjleaes.br (pD9EC61E5.dip.t-dialin.net [217.236.97.229])

Hat jemand eine bessere Idee? Thx!

Generelle Regeln wie reject_unknown_client kann ich nur begrenzt einsetzen, da damit leider auch viele gewünschte eMails von Unternehmen blockiert werden, die es einfach nicht auf die Reihe kriegen Ihren Mailserver ordentlich zu konfigurieren!

Gruß,

Ice

 

[socke]

hi,

versuch es mal mit regexp statt hash.

smtpd_recipient_restrictions =

#aufpassen was du zu deinem network deklarierst, sonnst droht open-relay
permit_my_network
reject_unauth_destination
# achtung, allow_postmaster erst nach reject_unauth_destination
check_recipient_access hash:/usr/local/etc/postfix/allow_postmaster
reject_non_fqdn_hostname
reject_invalid_hostname
reject_unauth_pipeling
reject_non_fqdn_sender
check_client_access regexp:/usr/local/etc/postfix/client_reject.regexp
# wenn du eine feste ip hast dann noch folgendes
check_helo_access hash:/usr/local/etc/postfix/helo_access
​

hier die files:


# file: allow_postmaster
# -> jeder kann postmaster oder abuse erreichen auch wenn du blacklists o.ae. einsetzt, postmaster@[IP] ist hier auch erlaubt !
#
postmaster@ OK
abuse@ OK


# file: client_reject.regexp
# ersetzte [err-msg die zurueckgegeben wird] mit deiner fehlermeldung
#
/^p[a-z0-9]{8}\.dip\.t-dialin\.net$/ 554 please go to http://
/^p[a-z0-9]{8}\.dip[0-9]{0,1}\.t-ipconnect\.de$/ 554 err-msg die zurueckgegeben wird
#
# sehr wirkungsvoll ist hier
#
/^dialup.*$/ 554 err-msg die zurueckgegeben wird
/^.*dialup.*$/ 554 err-msg die zurueckgegeben wird
/^dial-up.*$/ 554 err-msg die zurueckgegeben wird
/^dial-in.*$/ 554 err-msg die zurueckgegeben wird
# ...
/^adsl.*$/ 554 err-msg die zurueckgegeben wird
/^ppp.*$/ 554 err-msg die zurueckgegeben wird
#
# ...


# file: helo_access
# sehr wirkungsvoll wenn du eine feste ip hast
# XXX.XXX.XXX.XXX ist deine public IP, my.fqdn.tld (name vom mx record bsp. mail.example.com)
#
XXX.XXX.XXX.XXX REJECT do not use my ip in helo
my.fqdn.tld REJECT do not use my name in helo



eine liste als anregung findest du auf
ftp://ftp.aerasec.de/pub/linux/postfix/client-reject/

die Liste laesst sich erweitern mit
dhcp, modem, dynamic, home, client, user, cable, pool, pppoe usw.
-> einfach mal das maillog analysieren


socke
(sorry fuer die lausige Formatierung )