On 21.08.2014 11:26, Matthias Schmidt wrote:
wie stell ich denn sowas an, Anomalien im Log zu erkennen um mir dann z.Bsp. eine Alarm-Mail zu schicken.
http://www.inversepath.com/tenshi.html
Tenshi braucht anfangs etwas viel Liebe (erstmal alles was uninteressant ist rausfiltern und dabei nach Möglichkeit sehr genaue Filter bauen die wirklich nur das uninteressant treffen), dann ist es aber sehr praktisch.
Außerdem willst du reject_authenticated_sender_login_mismatch in deine restrictions einbauen damit jeder user nur noch mit seinen Adressen schicken darf. Das verlässt sich allerdings auf ein ordentlich gesetztes smtpd_sender_login_maps.
Dann willst du noch *alle* Mails (auch die von deinen Usern und auch lokal erstellte (pickup)) durch einen Spamfilter schicken. Das machst du wenn ich das richtig sehe für submission momentan nicht. Einfach überall den content_filter setzen.
Und zum Schluss willst du noch limitieren wie viele Mails ein user pro Zeit schicken darf damit gestohlene Accounts nicht ganz so schlimm sind. Da machst du postfwd in postfix als policy service an den passenden Stellen rein. Am besten in smtpd_end_of_data_restrictions.
Meine postfwd config:
&&SASL_WHITELIST { sasl_username=devnull; };
# skip lower rate limiting for certain users id=SaslWhitelist; protocol_state==END-OF-MESSAGE; &&SASL_WHITELIST; action=rcpt(sasl_username/300/21600/REJECT You can only send to 300 recipients per 6h per user)
# skip lower rate limiting for certain users id=SaslWhitelist2; protocol_state==END-OF-MESSAGE; &&SASL_WHITELIST; action=dunno;
# sasl_username != doesn't work for whatever reason id=RcptRate; protocol_state==END-OF-MESSAGE; sasl_username!~/^$/; action=rcpt(sasl_username/100/21600/REJECT You can only send to 100 recipients per 6h per user)
# this causes postfwd to log something for every mail id=logging; protocol_state==END-OF-MESSAGE; action=dunno;