postfix reject_unknown_client

ww

Well-Known Member
Moin.

Ich betreibe einen Mailserver für verschiedene Nutzer und habe das Spamproblem einigermaßen im Griff. Zur Zeit werden etwa 90% der Mails weggeschmissen und vom Rest ist etwa die Hälfte Dreck und die andere White.

Momentan spiele ich mit dem Gedanken, in der main.cf die Option reject_unknown_client zu aktivieren, denn bei dem Dreck schlägt eine Reverse Lookup praktisch immer fehl, d.h. es werden häufig Dialup-Verbindungen oder gekaperte Winboxen als Sender verwendet.

Allerdings habe ich etwas Angst, daß zu viele False Positives geblockt werden. Strenggenommen wäre es nicht mein Problem, wenn Mailserver Dritter schlecht konfiguriert sind, es geht hier aber um geschäftliche Mails.

Ich weiß, daß man an @freebsd.org keine Mails senden kann, wenn die Sender-IP nicht verifiziert werden kann. Hat jemand von Euch Erfahrung mit reject_unknown_client?

Gruß,
WW
 
Last edited:
Man kann "reject_unknown_client" nutzen, ebenso wie "reject_unknown_hostname", ob man es will ist was anderes.
Problem bei "client" ist, dass es gerade "Mode" ist den PTR record falsch konfiguriert zu haben. Daraus resultiert dann das einige Mails die durchsollten, nicht durchkommen.
Ich hatte hier das Problem mit "client" und "hostname" das einige Kunden einen sehr bescheiden konfigurierten Webserver und DNS nutzen und die mails dann verworfen wurden. Musste es also wieder rausnehmen da sonst die Mails nicht ankommen würden.
Und ja, es ist ein Kampf gegen Windmühlen diesen Leuten, Kunden, Betreibern klar zu machen das da was nicht stimmt, ich treffe da täglich drauf. Dann muss man leider diese Optionen aussen vor lassen.
Prinzipiell gute Erfahrung habe ich mit
RBL
RHSBL
einer manuell gepflegten "client_access"
einer manuell gepflegten "sender_access"
disable_vrfy_command = yes
header und body checks
smtpd_helo_required=yes
reject_non_fqdn_sender
reject_non_fqdn_recipient
reject_unknown_recipient_domain

Aber das kann jeder nach gutdünken selbst testen, variieren und anpassen (neben amavisd, spamd und clamav).
Schau Dir die mails an die kommen, schau ins logfile von wem diese kommen, und sperr den Mist manuell über die manuell gepflegte "client_access" Liste aus. Du hast in relativ kurzer Zeit eine Menge weniger. Es sind oft die üblichen Verdächtigen die da schicken.
 
Danke, Axel. Und schade, daß ich das besser nicht nehmen kann, weil es um geschäftlichen Kram geht und da kann man einen Kunden schlecht anmachen, weil sein Server shitty configured ist...

Den Rest habe ich im wesentlichen so implementiert.

Gruß,
Wolfgang
 
Du könntest noch etwas machen:
Code:
warn_if_reject  reject_unknown_client
Dabei wird eine Warnung in das log geschrieben, die Mail aber dennoch ausgeliefert. Wenn Du genug Informationen hast kannst Du entscheiden ob diese Option für Dich sinnvoll oder nicht ist.
Wenn ja, dann entfernst Du das "warn_if_reject" einfach.
Selbiges kannst Du auch mit anderen "rejects" machen von denen Du nicht 100% weisst das diese für Dich ordnungsgemäß funktionieren und nicht zuviel verwerfen.
 
Hi Axel,

ich habe mich jetzt entschlossen, reject_unknown_client einzutragen, nachdem ich die Logfiles der letzten Tage studiert und zwei Sender manuell in die client_access-Liste ("OK") eingetragen habe. Mal schauen, was die nächsten Tage bringen.

WTF tragen manche einen falschen PTR-Eintrag ein?

Gruß,
Wolfgang
 
Back
Top