Hallo Markus,
On 10.02.22 08:55, Papierkorb wrote:
smtpd_recipient_restrictions = reject_non_fqdn_sender, reject_non_fqdn_recipient, reject_unknown_sender_domain, reject_unknown_recipient_domain, permit_sasl_authenticated, permit_tls_clientcerts, permit_mynetworks, check_sender_access hash:/etc/postfix/absender_kontrolle, check_policy_service inet:127.0.0.1:10023, reject_rbl_client b.barracudacentral.org, reject_rbl_client ix.dnsbl.manitu.net, reject_rbl_client bl.spamcop.net, reject_rbl_client ubl.unsubscore.com, reject_unauth_destination, permit
Feb 8 13:44:40 mail postfix/smtpd[22650]: connect from unknown[109.237.100.107]
So jemand darf von vornherein gar keine Mail einliefern. Punkt. ;-)
Welche Maßnahmen könntest Du dazu empfehlen?
wie in den anderen Antworten schon genannt, würde ich 'reject_unknown_client_hostname' empfehlen.
In einem Setup vor langer Zeit war ich zunächst sehr vorsichtig und hatte das erst mal mit:
warn_if_reject reject_unknown_client_hostname
eine Weile beobachtet. Schließlich habe ich das aber doch aktiviert, da ich mittlerweile Mails von solchen Systemen einfach nichts mehr annehmen will. Wer DNS nicht korrekt einstellt, hat keine Mails zu versenden. IMHO. ;-) (Und für die allerseltensten Ausnahmen kann man ja immer noch eine individuelle Whitelist führen. ;-))
Das ist aber immer eine sehr individuelle Sache. Es gibt Umgebungen, da kann man nicht ganz so hart rangehen. Dann könnte man ggf. den Einsatz von Policy Daemons in Betracht ziehen, die solche Checks oft ebenfalls durchführen, das Ergebnis aber nicht als alleiniges k.o.-Kriterium werten, sondern zusammen mit anderen Checks berücksichtigen. Aus diesem Grund verwende ich übrigens auch die Blacklists (wie oben in Deiner Config) nicht mehr direkt in den Restrictions, sondern nur noch mit Policy Daemons - ein Server ist schnell mal unverschuldet auf eine Blacklist geraten und wird dann nicht gleich _nur_ deswegen rejected.
Aber wie gesagt: Das ist ganz klar eine Ermessensfrage.
Der von Jürgen erwähnte, nicht ganz so harte Check 'reject_unknown_reverse_client_hostname' bringt aus _meiner_ Sicht übrigens nicht so dolle viel, weil eben doch die meisten Hoster irgendeinen(!) Dummy-PTR-Record für ihre ganzen IP-Adressen setzen. Damit schadet dieser Check zwar nicht, bringt aber auch keine entscheidende Verbesserung. IMHO. ;-)
Dazu noch eine Anmerkung:
- Macht es dennoch Sinn ein "reject_unauth_destination" zu setzen? Wenn ja, für welchen Fall?
Aus meiner Sicht: ja. Weil: Damit werden unberechtigte Clients mit Mails an Domains, für die der Server nicht zuständig ist, gleich rejected und man spart sich weitere Prüfungen.
Viele Grüße Markus