* Alex JOST jost+lists@dimejo.at:
Am 20.02.2019 um 15:32 schrieb Stefanie Leisestreichler:
Am 20.02.19 um 14:45 schrieb Alex JOST:
PS: AUTH auf Port 25 ist eigentlich keine gute Idee. Wenn möglich immer einen eigenen Port dafür benutzen.
Das mache ich gerne so, wie Du es vorschlägst. Ich nehme an, Du meinst ich soll statt dessen Port 587 verwenden, oder?
Genau. Port 587 ist inzwischen der Standardport für einliefernde MUAs.
Gerne würde ich auch verstehen, warum Du das empfiehlst. Würdest Du mir das ggfs. kurz erläutern oder einen Link zu einer entsprechenden Doku senden?
Patrick hat es im Wesentlich gut erklärt, aber das strikte Trennen von MTAs und MUAs hat nicht nur den Vorteil, dass man beim einen die Verschlüsselung erzwingen kann, während man beim anderen auch unverschlüsselte Verbindungen zulässt. Es erlaubt Dir generell unterschiedliche Konfigurationen für einliefernde Server und Deine Benutzer zu nutzen.
Die wichtigsten Punkte sind für mich:
- unterschiedlich starke Verschlüsselung
- DNSBLs (z.B. mit Postscreen)
- Ratelimiting
Genau. Die Trennung von MUA -587-> MSA und MTA -25-> MTA gestattet unterschiedliche Policies. Ich setze zusätzlich noch smtpd_delay_reject = no auf Port 25, weil ich dort nicht auf fehlerhaft implementierte MUAs mehr Rücksicht nehmen muss.
Auf großen Plattformen mache ich das nicht, solange ich mir das Ressourcentechnisch erlauben kann. Da lasse ich die Spammer lange in die Session reinrennen, damit die Tools viel über den Spammer lernen können. Das hilft bei Auswertungen typische Merkmale von Spammern zu erkennen. Würde ich sie sofort rejecten wäre der Lerngewinn geringer.
Wichtig ist aber nur das im Vorfeld schon klar zu trennen. Die Benutzer dazu zu bewegen die Einstellungen nachträglich in allen Geräte zu ändern kostet sehr viel Mühe und Zeit.
Für die Konfiguration von MUAs empfehle ich https://automx.org. Das macht es für Endanwender einfach, ihr Mailprogramm zu konfigurieren. Spart Zeit, man kann "seine" sichere policy einfach durchsetzen und entlastet den Support erheblich.
p@rick