Am 30.10.2014 um 14:26 schrieb django@nausch.org:
HI Robert!
Quoting Robert Schetterer rs@sys4.de:
"ungewoehnlich" das hier reinzuschreiben...
Na ja, dafür bin ich bekannt für UNGEWÖHNLICHES! ;)
Ich binde jeweils nur die Milter ein, die ich benötige, abhängig, ob MTA <-> MTA oder MUA -> MSA
ausserdem moeglicherweise koennte die Verkettung von "diesen" Miltern zu Problemen fuehren wenn du nicht die letzte postfix version 2.11.3 nutzt aber moeglicherweise ist dir das ja schon klar bzw du hast es im Griff
Na ja, bis jetzt konnte ich nicht's Erschreckendes feststellen, was aber nicht heisst, dass ich ggf. was nicht mitbekommen habe. Und ja, ich benutze 2.11.13 Und ausserdem hat ein gewisser "p" von einer sys4 den "BASTSCHO-Stempel" auf ein gleichartiges System gedrückt - ergo: bastscho! ;)
bei einem Test wuerde ich opendmarc ( oder einfach alle milter ) erstmal weglassen,
Da die bist Dato immer ohne Murren ihren Dienst erledigt hatten, hatte ich die einfach weitermitlaufen lassen.
selektiv einzusetzen z.b mit milter-manager
Erzähl, was macht den milter-manager (noch) besser?
die Frage ist was man möchte, man möchte sicher jede Mail nach SPAM und Viren scannen, ob es sich "lohnt" jede Mail von einem eigenem Milter nach DMARC und SPF abzuklopfen ist eine andere Frage. Ausserdem muss man sich entscheiden wer DKIM machen soll AMAVIS kann das ja selbst.
Am Ende möchte man vieleicht möglichst wenig Pishing und SPAM ( Viren sowieso nicht ) , mit minimaler False Positive Rate bei max Performance und moeglichst wenig Support.
Klassifizierung wie Amavis es macht ist Fehler toleranter, als Milter die "hart" Ablehnen, bei DMARC und DKIM milter gibts schon mal "ungewollte" Ablehnungen was mehrere Grunde hat die im weitesten Sinne in der Komplexitaet des Standards zu suchen sind.
Der Milter Manager kann selektiv entscheiden z.b an Hand einer regex fuer welche Ipadresse er welchen Milter anwenden moechte, d.h z.b. nur fuer typische dyndns reverse dns , den Rest kann man dann z.b AMAVIS ueberlassen, ich hab es allerdings so noch nicht getestet, sondern bis jetzt nur nachgelesen.
Von Info Mails an Domain Owner wie es z.b bei DMARC vorgesehen ist, halte ich auch nicht viel, es ist zwar schoen dass das geht, aber die Welt hat im Zweifelsfalle schon genug Mail
Alles Genannte ist aber eine "persoenliche" Meinung und sicher nicht der Stein der Weisen, ausserdem muss man solche Massnahmen immer auf die entsprechenden Systeme "zuschneidern", gut wenn man schon logs hat und seine Pappenheimer kennt.
Servus Django
Best Regards MfG Robert Schetterer