Am 25.09.2012 10:18, schrieb Margrit Lottmann:
...frueher ...hatten wir einen Kaiser...Scherz... aber auch: (in exim) eine strenge Senderpruefung zumindest fuer Adressen aus unserem Adressraum (unsere Domains...nur wer gelistet war, durfte senden
...jetzt machen wir nur normale Sender-Verifys...d.h. Domain muss existieren...reject_unlisted_sender habe ich wieder ausdokumentiert...da wir den ganzen Wildwuchs auf unseren Uni-Webserervern eh' nicht bewaeltigen koennten...Unser Chef sieht das so...dass wir die Freiheit der Wissenschaft sichern muessen...mehr dazu nicht...sonst aergere ich mich am fruehen Morgen...
...aber: mal wieder rollt eine Welle von Password-Fischern ueber uns hinweg ...von aussen (also nicht aus unserem Netz und bei den Adressen der Absender stimmt nur die Domain...)
Lohnt es, Regeln einzubauen, die zumindest fuer die Aussenwelt Sender-Checks wieder "genauer" durchfuehrt ...und wie mache ich das dann ??? Gibt es bedingte Checks der Form wenn nicht aus unserem Netz dann reject_unlisted_sender
??? Lohnt es ueberhaupt, so was auszudenken ??? Es ist ja nicht so schwer, richtige Adresse zu finden ...
nun Adressen werden meist auf webseiten oder gehackten Rechnern in den Adressbuechern gefunden in diesem Fall lohnt es kaum sich darueber Gedanken zu machen, das kannst du nicht verhindern
http://www.postfix.org/ADDRESS_VERIFICATION_README.html#sender_always
externe sender verification wuerde ich nicht empfehlen, oder wenn dann nur selektiv, die Absender sind oft gefaelscht du nervst damit nur Unschuldige die dich vieleicht deshalb sperren, bzw es funktioniert gar nicht weil die greylisting etc benutzen
ansonsten kannst du natuerlich eine sender verification per policy auch an zb andere server in deinem Netz machen, wenn du zb fuer die nach draussen relayen willst etc, dazu muesste man aber mal das ganze setup sehen
reject_unlisted_sender hat mit dem eigentlichen external sender verify erstmal nichts zu tun
http://www.postfix.org/postconf.5.html#smtpd_reject_unlisted_sender
reject_unlisted_sender Reject the request when the MAIL FROM address is not listed in the list of valid recipients for its domain class
reject_unlisted_recipient (with Postfix version 2.0: check_recipient_maps) Reject the request when the RCPT TO address is not listed in the list of valid recipients for its domain class. See the
das kann man bedenkenlos einsetzen, wenn es zum setup passt
reject_unknown_sender_domain Reject the request when Postfix is not final destination for the sender address, and the MAIL FROM domain has 1) no DNS A or MX record, or 2) a malformed MX record such as a record with a zero-length MX hostname (Postfix version 2.3 and later).
ist ebenfalls haeufig, wenn man sich auf sein dns verlassen kann kann man auch den reject code aendern, achtung bei internen domains etc will man das vieleicht nicht
ein vernuenftig aufgesetzes Mail behindert niemanden, das Gegenteil belaestigt aber viele und du stehst in der Gefahr irgendwo gesperrt zu werden , die Argumente deines Chefs sind voelliger Unfug