Hallo,
mit der Einstellung smtpd_delay_reject = no ist es unmöglich, sich am submission-Port mit UserId/Password zu authentifizieren;
hab dann in der master.cf folgendes
submission inet n - n - - smtpd -o smtpd_tls_security_level=encrypt -o smtpd_sasl_auth_enable=yes -o smtpd_delay_reject=yes -o smtpd_client_restrictions=permit_sasl_authenticated,reject
und damit funktioniert die Authentification am submission-Port und SPAM-Clients werden bereits verabschiedet bevor noch ein MAIL FROM kommt;
meine main.cf hat das
smtpd_delay_reject_submission = yes smtpd_delay_reject = no
smtpd_helo_required = yes
smtpd_helo_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_invalid_helo_hostname, reject_unknown_helo_hostname, reject_non_fqdn_helo_hostname, reject_rhsbl_helo rhsbl.sorbs.net, check_helo_mx_access cidr:/etc/postfix/drop.cidr, check_helo_ns_access cidr:/etc/postfix/drop.cidr, permit
smtpd_client_restrictions_submission = permit_sasl_authenticated, reject smtpd_client_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_pipelining, reject_unknown_client_hostname, reject_unknown_reverse_client_hostname, reject_rbl_client cbl.abuseat.org, reject_rbl_client ix.dnsbl.manitu.net, reject_rbl_client noptr.spamrats.com, reject_rbl_client dyna.spamrats.com, reject_rbl_client dnsbl.sorbs.net, reject_rbl_client zen.spamhaus.org, reject_rbl_client bl.spamcop.net, check_client_access hash:/etc/postfix/client_access, check_client_access cidr:/etc/postfix/client_access.cidr, permit
smtpd_sender_restrictions = reject_unknown_sender_domain, reject_non_fqdn_sender, reject_rhsbl_sender rhsbl.sorbs.net, check_sender_mx_access cidr:/etc/postfix/drop.cidr, check_sender_ns_access cidr:/etc/postfix/drop.cidr, check_sender_access hash:/etc/postfix/sender_access, permit
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination, reject_unauth_pipelining, reject_non_fqdn_recipient, reject_unknown_recipient_domain, check_policy_service unix:private/policy-spf, check_recipient_access hash:/etc/postfix/recipient_access, reject
smtpd_data_restrictions = reject_unauth_pipelining, permit
smtpd_etrn_restrictions = permit_mynetworks, reject
/etc/postfix/drop.cidr kommt von hier: http://www.spamhaus.org/drop/drop.lasso
/etc/postfix/client_access.cidr beinhaltet Netzwerkblöcke, denen ich den Zugriff verweigere (z.B. alle Netze welche über spf.protection.outlook.com aufgelöst werden)
/etc/postfix/sender_access beinhaltet Absender, die ich ablehne (z.B. alle Länder-TLDs bis auf ein paar handverlesene, ebenso Freemail-Domains wie hotmail.com, yahoo, ...)
/etc/postfix/recipient_access beinhaltet alle meine Mailaliase
mittels Header-Checks noch ein paar Besonderheiten: z.B. Mails in einem Zeichensatz, den ich nicht verstehe (Alle bis auf: US-ASCII, UTF-8, ISO-8859-1(5))
d.h. ein SPAM/Malware-Sender muss sich wirklich bemühen, damit bei mir was durchkommt;
ein Eintrag wie dieser
Jul 20 22:47:42 vhost01 postfix/cleanup[19994]: CF5C94140B: reject: mime-error improper use of 8-bit data in message header: Subject: Bitte best??tigen Sie Ihre Anmeldung zum Newsletter from mail1.verkehrsbuero.com[213.33.97.21]; from=<#SPAM-SENDER#> to=<#MY-EMAIL#>
zeigt mir, daß ich mit
strict_8bitmime = yes strict_7bit_headers = yes strict_8bitmime_body = yes
ebenfalls nichts falsch mache;
Grüße, Walter