Re: [postfix-users] reject_unverified_recipient

28 Jun 2010


      Hallo Chris
Am Montag, 28. Juni 2010 schrieb Christopher Stolzenberg:
...
Am 28. Juni 2010 12:50 schrieb Gregor Hermens gregor.hermens@a-mazing.de:
...
Hallo Chris,
Am Montag, 28. Juni 2010 schrieb Christopher Stolzenberg:
...
Mal angenommen ich bin für die Domains firma.de und firma.com
zuständig. Ein Spammer versucht z.B. zu testen ob er über meinen
Server relayen kann und macht als Absender xyz@example.com und als
Emfpänger xyz@googlemail.com.
Sobald ich reject_unverified_recipient benutze baut Postfix zum
eingehenden Mailserver von googlemail.com eine Verbindung auf, stellt
fest die Mailadresse ist zustellbar und gibt dem potenziellen Spammer
trotzdem mit 7 Sekunden Verzögerung ein relay access denied.
smtpd_recipient_restrictions =
        reject_unknown_recipient_domain,
        reject_unknown_sender_domain,
        reject_non_fqdn_recipient,
        reject_non_fqdn_sender,
        permit_mynetworks,
        permit_sasl_authenticated,
        reject_unverified_recipient,
#      check_recipient_access hash:/etc/postfix/verify_domains,
        reject_invalid_hostname,
        reject_non_fqdn_hostname,
        reject_unknown_reverse_client_hostname,
        reject_unauth_destination,
        reject_unauth_pipelining,
        reject_invalid_helo_hostname,
        reject_non_fqdn_helo_hostname,
        reject_rbl_client ix.dnsbl.manitu.net,
        reject_rbl_client zen.spamhaus.org
Bei dir kommt reject_unverified_recipient vor reject_unauth_destination. 
Dadurch kommt es zu dem oben beschriebenen Verhalten.
Du solltest alles, was nach permit_sasl_authenticated kommt, von billig nach 
teuer sortieren. reject_unverified_recipient ist wohl die teuerste Regel in 
der ganzen Liste. Mein Vorschlag:
smtpd_recipient_restrictions =
        reject_unknown_recipient_domain,
        reject_unknown_sender_domain,
        reject_non_fqdn_recipient,
        reject_non_fqdn_sender,
        permit_mynetworks,
        permit_sasl_authenticated,
        reject_unauth_destination,
        reject_invalid_hostname,
        reject_non_fqdn_hostname,
        reject_unknown_reverse_client_hostname,
        reject_invalid_helo_hostname,
        reject_non_fqdn_helo_hostname,
        reject_unauth_pipelining,
        reject_rbl_client zen.spamhaus.org
        reject_rbl_client ix.dnsbl.manitu.net,
        reject_unverified_recipient,
#      check_recipient_access hash:/etc/postfix/verify_domains,
Gruß,
Gregor
-- 
     @mazing           fon +49 8142 6528665
  Gregor Hermens       fax +49 8142 6528669
Brucker Strasse 12  gregor.hermens@a-mazing.de
D-82216 Gernlinden    http://www.a-mazing.de/