Am 27.06.2010 22:12, schrieb Christopher Stolzenberg:
Am 27. Juni 2010 20:30 schrieb Ralf Hildebrandt Ralf.Hildebrandt@charite.de:
smtpd_recipient_restrictions = reject_unverified_recipient
Da wird es IMMER gemacht
Also soll man das so nicht machen? Wenn ein Spammer die Empfängeradresse fälscht
machen die immer bzw das ist keine Faelschung sondern die wollen dir dann halt spam zustellen
würde mein Postfix ungewollt an anderen
Servern Anfragen machen ob es den Empfänger gibt?
ja aber das kann ja gewollt so sein, typischer fall du betreibst ein antispamrelay mit postfix ( spamasassin etc ) dabei ist es sinnvollerweise zwingend notwendig die existierenden mail adressen der domains zu kennen ( um zb mit unknown recipient antworten zu koennen) , wenn du aber keine statischen listen dieser mailadressen pflegen willst/kannst fragst du halt am mailserver der die mailboxen haelt nach, per smtp, ob die adressen existieren ist dies nicht der Fall kann dein antispamrelay den spammer abweisen ( noch bevor die mail angenommen wird ) wenn der eigentliche mailserver dann auch noch nur ueber das antispamrelay versendet wird der eigentliche mailserver weitgehenst "versteckt" und muss keine filter Last tragen, das Ergebnis solcher abfragen kann man cachen, bleibt das grundsaetzliche Problem dass man immer schneller Fragen als antworten kann, das heisst es kann das Problem entstehen das auch in diesem gewollten scenario das antispamgate den eigentlichen mailserver mit nachfragen ueberflutet ( weil es eben selbst so haeufig gefragt wird, oder es kommen falsche Ergebnise etc ), durch caching wird das gemildert, diese verfahren ist aber relativ sicher wenn eine gut und stabile schnelle Netzwerkverbindung ( selbes Netz/Rechenzentrum etc ) zwischen relay und eigentlichem mailserver existiert, haeufige Methode auch bei backup mx servern , oder postfixantisapmrelays fuer exchange etc, man kann das Problem aber acuh mit Anfragen ueber ander serives loesen zb ldap Anfragen an die active dir etc
was man def nur in absoluten Ausnahmefaellen machen sollte ist ein sender verify weil dies taetsaechlich bei spam durch fake fast immer zur belaestigung dritter geht was dann haeufig zum blacklisting fuehrt
thx
Chris _______________________________________________ postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
reject_unverified_recipient Reject the request when mail to the RCPT TO address is known to bounce, or when the recipient address destination is not reachable. Address verification information is managed by the verify(8) server; see the ADDRESS_VERIFICATION_README file for details. The unverified_recipient_reject_code parameter specifies the numerical response code when an address is known to bounce (default: 450, change into 550 when you are confident that it is safe to do so). The unverified_recipient_defer_code parameter specifies the numerical response code when an address probe failed due to a temporary problem (default: 450). The unverified_recipient_tempfail_action parameter specifies the action after addres probe failure due to a temporary problem (default: defer_if_permit). This feature is available in Postfix 2.1 and later.
http://www.postfix.org/ADDRESS_VERIFICATION_README.html
--- WARNING
Recipient address verification may cause an increased load on down-stream servers in the case of a dictionary attack or a flood of backscatter bounces. Sender address verification may cause your site to be blacklisted by some providers. See also the "Limitations" section below for more.