[postfix-users] Mail für eine Domain verwerfen
Hallo zusammen,
gegeben sei example.org und die Vorgabe, alle Mail an <localpart>@killme.example.org zu töten. Meine Lösungsidee:
transport_maps = /etc/postfix/maps/transport relay_domains = killme.example.org
und in /etc/postfix/maps/transport
killme.example.org discard:
Ist das "intended usage" für relay_domains und transport_maps?
Ciao Stefan
Hallo postfix-users,
* Stefan Förster cite@incertum.net wrote:
relay_domains = killme.example.org
Und natürlich ein
@killme.example.org x
in die Map für die Relay-Recipients.
Ciao Stefan
* Stefan Förster cite@incertum.net wrote:
Hallo postfix-users,
- Stefan Förster cite@incertum.net wrote:
relay_domains = killme.example.org
Und natürlich ein
@killme.example.org x
in die Map für die Relay-Recipients.
Schlechte Angewohnheit, imemr auf sich selbst zu antworten:
Wenn ein content_filter gesetzt ist, dann kann man mit einem recipient_access der Form
killme.example.org DISCARD
diesem umgehen.
So, jetzt aber: Geht das einfacher, besser oder schneller?
Ciao Stefan
Stefan Förster wrote:
gegeben sei example.org und die Vorgabe, alle Mail an <localpart>@killme.example.org zu töten. Meine Lösungsidee:
transport_maps = /etc/postfix/maps/transport relay_domains = killme.example.org
und in /etc/postfix/maps/transport
killme.example.org discard:
Warum Mails annehmen und dann wegwerfen? Warum nicht gleich rejecten?
* Arne Hoffmann arne@fish.in-berlin.de wrote:
Warum Mails annehmen und dann wegwerfen? Warum nicht gleich rejecten?
"Vorgabe, alle Mail an ... zu töten". *achselzuck*
Ciao Stefan
Stefan Förster schrieb:
- Arne Hoffmann arne@fish.in-berlin.de wrote:
Warum Mails annehmen und dann wegwerfen? Warum nicht gleich rejecten?
"Vorgabe, alle Mail an ... zu töten". *achselzuck*
Die Frage ist was soll damit bezweckt werden?
a. es dürfen nicht einfach mails gelöscht werden (auch nicht die vom ehemaligen Mitarbeiter) sauberer und rechtlich besser ist das zurückweisen (reject).
b. Der Absender der eine Mail mit 250 bestätigt bekommt kann davon ausgehen das die Mail angekommen ist. Bei Firmen kann es unter umständen alleine schon ausreichen das man einer Mail nicht widerspricht, die angenommen wurde, um einen gültigen Vertrag am Bein zu haben.
c. ob man jetzt rejectet oder discardet kommt für den Empfänger aufs Gleiche raus, die erstere Möglichkeit hat garantiert weniger Probleme. Der Absender bekommt dadurch die Möglichkeit auf andere Art und weise Kontakt aufzunehmen.
Sind es Liebesbriefe von einer/einem zerflossenen dann wird es mit den rejects deutlicher das man keine Post mehr von Ihr/Ihm möchte *gg
Mit freundlichen Grüßen
Drießen
* Uwe Driessen driessen@fblan.de wrote:
Die Frage ist was soll damit bezweckt werden?
Ich benötige technischen Rat, genauer gesagt eine Antwort auf die Frage, ob das von mir skizzierte Vorgehen mittels relay_domains und einem Eintrag in der transport-Map so der schnellste und effektivste Weg ist, Mail für eine Domain zu verwerfen.
Rechtliche Rahmenbedingungen sowie die Suche nach dem Sinn solch einer Aktion sind irrelevant. Falls jemand ohne sie nicht schlafen kann, dann möge angenommen werden, es handle sich um ein internes Testsystem, womit beide Fragen zur Genüge beantwortet wären.
Ciao Stefan
Stefan Förster schrieb:
- Uwe Driessen driessen@fblan.de wrote:
Die Frage ist was soll damit bezweckt werden?
Ich benötige technischen Rat, genauer gesagt eine Antwort auf die Frage, ob das von mir skizzierte Vorgehen mittels relay_domains und einem Eintrag in der transport-Map so der schnellste und effektivste Weg ist, Mail für eine Domain zu verwerfen.
Dann nimm in deinen Restrictionen
check_recipient_access type:table Search the specified access(5) database for the resolved RCPT TO address, domain, parent domains, or localpart@, and execute the corresponding action
Auf.
Name discard
In die Tabelle und alle sind glücklich oder auch nicht
Ich habs nicht getestet aber lt. Beschreibung sollte es so gehen. Ohne Rlay-Domains usw.
OTHER ACTIONS restriction... Apply the named UCE restriction(s) (permit, reject, reject_unauth_destination, and so on).
BCC user@domain Send one copy of the message to the specified recipient.
If multiple BCC actions are specified within the same SMTP MAIL transaction, only the last action will be used.
This feature is not part of the stable Postfix release.
DISCARD optional text... Claim successful delivery and silently discard the message. Log the optional text if specified, oth- erwise log a generic message.
Note: this action currently affects all recipients of the message. To discard only one recipient without discarding the entire message, use the transport(5) table to direct mail to the discard(8) service.
This feature is available in Postfix 2.0 and later.
Rechtliche Rahmenbedingungen sowie die Suche nach dem Sinn solch einer Aktion sind irrelevant. Falls jemand ohne sie nicht schlafen kann, dann möge angenommen werden, es handle sich um ein internes Testsystem, womit beide Fragen zur Genüge beantwortet wären.
Nun einfach so ist es für alle anderen nicht die diesen Beitrag lesen. Eine Liste sollte auch die Probleme aufmerksam machen die aus dieser vorgehensweise resultieren können. Nur so für das Archiv.
Mit freundlichen Grüßen
Drießen
* Uwe Driessen driessen@fblan.de wrote:
Dann nimm in deinen Restrictionen
check_recipient_access type:table Search the specified access(5) database for the resolved RCPT TO address, domain, parent domains, or localpart@, and execute the corresponding action
Auf.
Name discard
Und zwar _vor_ reject_unauth_destination. Gute Idee. Es sei denn, man erwartet jemals den Fall, daß eine Mail an diese Domain _und_ einen validen Empfänger geht - DISCARD wirft ja alles weg.
So, und da hätten wir die nächste Frage: Wieso macht es das? Gibt's da einen programmiertechnischen Grund? Ich würde das verstehen, wenn er für so eine Mail dann gar kein Queue-File anlegen würde. Macht er aber ja - also könnte man den einen Empfänger auch einfach mit 250 quittieren und die Mail... na ja, egal. Das ist glaube ich wieder so eine Frage für die englische Mailingliste, wo man sich dann von Victor D. fragen lassen kann, inwiefern das ein Problem ist, was man eigentlich erreichen will und daß man bitte postconf -n zeigen soll ;-)
Nur so für das Archiv.
Ich seh das ja ein. Aber die Thematik von wegen "keine Mails zu verlieren oder wegzuwerfen" ist - gerade auch im Archiv - halt schon bisserl "durchgenudelt", wie man so sagt.
Ciao Stefan
On Mon, May 05, 2008 at 12:28:46AM +0200, Stefan Förster wrote:
erwartet jemals den Fall, daß eine Mail an diese Domain _und_ einen validen Empfänger geht - DISCARD wirft ja alles weg.
So, und da hätten wir die nächste Frage: Wieso macht es das?
Ist man 5 access so undeutlich (im Sinne von "intended")? Wenn ja, stell diese Frage auf der englischen ML, und warum du:
Note: this action currently affects all recipients of the mes- sage. To discard only one recipient without discarding the entire message, use the transport(5) table to direct mail to the discard(8) service.
nicht nachvollziehen kannst. Ich kann es gerade auch nicht -- ich finde es aber auch gerade nicht mehr so spannend dem nachzugehen.
p.s. mit der richtigen Fragestellung brauchst du nichtmal ein postconf -n anzubieten.
* Robert Felber r.felber@ek-muc.de wrote:
Wenn ja, stell diese Frage auf der englischen ML, und warum du:
Note: this action currently affects all recipients of the mes- sage. To discard only one recipient without discarding the entire message, use the transport(5) table to direct mail to the discard(8) service.nicht nachvollziehen kannst. Ich kann es gerade auch nicht -- ich finde es aber auch gerade nicht mehr so spannend dem nachzugehen.
In meinem Fall (internes "abfackeln" automatisch generierter Mails, die man nicht rejecten "soll", weil das eine "Fachabteilung" ärgern würde) ist das halt eine nervige Einschränkung:
- ENTWEDER, man benutzt einen access-Check und DISCARD und kann dann zusehen, wie andere Leute kalte Füße kriegen, weil sie nicht garantieren können, daß eine Mail nie auch an Empfänger außerhalb der betroffenen Domain geht (was viel über die Strukturen aussagt) - ODER man benutzt eine transport-Map und muß dann entweder den Content-Filter für alle anderen Domains via access-Check explizit einschalten oder aber, bei gesetztem content_filter, akkzeptieren, daß auch Mails, die verworfen werden sollen, den Weg durch selbigen gehen
Insofern zeigt DISCARD schon ein "unerwartetes Verhalten" - stell Dir vor, REJECT würde nicht nur den betroffenen, sondern alle Empfänger ablehnen...
p.s. mit der richtigen Fragestellung brauchst du nichtmal ein postconf -n anzubieten.
Meine persönliche Erfahrung war, daß einige der Regulars auf postfix-users Fragen nach Design-Entscheidungen oder den Interna, wie bestimmte Funktionalitäten implementiert sind, leicht falsch verstehen und zu sehr in eine "Support"-Mentalität geraten. Das ist zwar angesichts eines Großteils des Traffics, der da drüber geht, gut nachzuvollziehen, aber eben nicht immer hilfreich.
Ciao Stefan
On Mon, May 05, 2008 at 09:53:54AM +0200, Stefan Förster wrote:
- ENTWEDER, man benutzt einen access-Check und DISCARD und kann dann zusehen, wie andere Leute kalte Füße kriegen, weil sie nicht garantieren können, daß eine Mail nie auch an Empfänger außerhalb der betroffenen Domain geht (was viel über die Strukturen aussagt)
- ODER man benutzt eine transport-Map und muß dann entweder den Content-Filter für alle anderen Domains via access-Check explizit einschalten oder aber, bei gesetztem content_filter, akkzeptieren, daß auch Mails, die verworfen werden sollen, den Weg durch selbigen gehen
Und ein MX fuer killme aufsetzen? Der ist dann auch nur fuer killme da, und tut nix ausser killen.
Das waere zumindest einer sicherer weg ohne produktive system zu beruehren.
* Robert Felber r.felber@ek-muc.de wrote: [Mail an killme.example.org verwerfen]
Und ein MX fuer killme aufsetzen? Der ist dann auch nur fuer killme da, und tut nix ausser killen.
Das waere zumindest einer sicherer weg ohne produktive system zu beruehren.
Das habe ich mir auch schon überlegt - ich hab nur momentan keine Maschine frei, nichtmal eine virtuelle. Und ich werde definitiv keinen Büro-PC oder eine ausgemusterte CAD-Workstation hinstellen ;)
Ciao Stefan
Stefan Förster schrieb:
- Robert Felber r.felber@ek-muc.de wrote:
[Mail an killme.example.org verwerfen]
Und ein MX fuer killme aufsetzen? Der ist dann auch nur fuer killme da, und tut nix ausser killen.
Das waere zumindest einer sicherer weg ohne produktive system zu beruehren.
Das habe ich mir auch schon überlegt - ich hab nur momentan keine Maschine frei, nichtmal eine virtuelle. Und ich werde definitiv keinen Büro-PC oder eine ausgemusterte CAD-Workstation hinstellen ;)
Warum nicht da er ja eh nur killt darf er sich auch selber killen kommt aufs gleiche raus *g Und soviel wird er nicht mit dem Killen zu tun haben als das es ein ausgemusterter P4 mit 512 MB Ram nicht bewerkstelligen könnte.
Stabilität für einen der nur zu discarden hat?
Kannst ja auch einen MX Eintrag auf eine sonst was IP setzen und der antwortet nicht (käme dann einem reject gleich *gg (aber da man nicht mit dem Absender spricht und Ihm erklärt warum er das unterlassen soll....)
Sorry ich grinse mir gerade einen zurecht. Kommunikation scheint nicht gerade groß in deiner Firma geschrieben zu werden (womit ich nicht dich meine, nicht das du das falsch verstehst)
Manchmal könnte es so einfach sein im Leben....
Mit freundlichen Grüßen
Drießen
Stefan Förster schrieb:
- Robert Felber r.felber@ek-muc.de wrote:
[Mail an killme.example.org verwerfen]
Und ein MX fuer killme aufsetzen? Der ist dann auch nur fuer killme da, und tut nix ausser killen.
Das waere zumindest einer sicherer weg ohne produktive system zu beruehren.
Das habe ich mir auch schon überlegt - ich hab nur momentan keine Maschine frei, nichtmal eine virtuelle. Und ich werde definitiv keinen Büro-PC oder eine ausgemusterte CAD-Workstation hinstellen ;)
Hast Du noch 'ne IP für eine zweite Instanz?
* "Jan P. Kessler" postfix@jpkessler.info wrote:
Stefan Förster schrieb:
Das habe ich mir auch schon überlegt - ich hab nur momentan keine Maschine frei, nichtmal eine virtuelle. Und ich werde definitiv keinen Büro-PC oder eine ausgemusterte CAD-Workstation hinstellen ;)
Hast Du noch 'ne IP für eine zweite Instanz?
Nein - aber die Anforderung ist nicht mehr aktuell. Meine Hand tut weh und ich brauche zwei neue Bleistifte, aber die Anforderung ist nicht mehr aktuell. Jehova!
Ciao Stefan
Stefan Förster schrieb:
- Uwe Driessen driessen@fblan.de wrote:
Dann nimm in deinen Restrictionen
check_recipient_access type:table Search the specified access(5) database for the resolved RCPT TO address, domain,
parent
domains, or localpart@, and execute the corresponding action
Auf.
Name discard
Und zwar _vor_ reject_unauth_destination.
Ich hab so was für die dasisteinetestmail@ an erster Stelle in den recipient Restriktionen drinne. Da nudel ich nicht alle anderen checks vorher durch der wird sofort rejectet
Gute Idee. Es sei denn, man erwartet jemals den Fall, daß eine Mail an diese Domain _und_ einen validen Empfänger geht - DISCARD wirft ja alles weg.
Dann schreib den validen Empfänger an die erste Stelle in der Datei mit DUNNO dahinter. Was aber auch wieder heißt das der Eintrag danach nicht bearbeitet sondern der test an dieser Stelle beendet wird
Gibt es mehrere Empfänger für diese Mails dann wirft er halt nach der Prämisse first match wins weg.
Alternative : über transport wie du es schon beschrieben hast
To discard only one recipient without discarding the entire message, use the transport(5) table to direct mail to the discard(8) service.
TABLE FORMAT The input format for the postmap(1) command is as follows:
pattern result When pattern matches the recipient address or domain, use the corresponding result.
Nur so für das Archiv.
Ich seh das ja ein. Aber die Thematik von wegen "keine Mails zu verlieren oder wegzuwerfen" ist - gerade auch im Archiv - halt schon bisserl "durchgenudelt", wie man so sagt.
*gg und dennoch soll es immer noch Leute geben die so was nie gelesen haben
Mit freundlichen Grüßen
Drießen
Stefan Förster schrieb:
- Uwe Driessen driessen@fblan.de wrote:
Die Frage ist was soll damit bezweckt werden?
Ich benötige technischen Rat, genauer gesagt eine Antwort auf die Frage, ob das von mir skizzierte Vorgehen mittels relay_domains und einem Eintrag in der transport-Map so der schnellste und effektivste Weg ist, Mail für eine Domain zu verwerfen.
Rechtliche Rahmenbedingungen sowie die Suche nach dem Sinn solch einer Aktion sind irrelevant. Falls jemand ohne sie nicht schlafen kann, dann möge angenommen werden, es handle sich um ein internes Testsystem, womit beide Fragen zur Genüge beantwortet wären.
Ciao Stefan
Hallo Stefan, meinst du sowas ?
smtpd_sender_restrictions = permit_mynetworks, permit_sasl_authenticated, check_sender_access hash:/etc/postfix/sender_domain_blacklist
und in /etc/postfix/sender_domain_blacklist
boese-domain.de REJECT we dont like your domain name
nicht vergessen ein postmap hash:/etc/postfix/sender_domain_blacklist nach jeder Aenderung in der Table
und postfix zu reloaden
Achtung die config kann bei dir natuerlich anders aussehen
Robert Schetterer schrieb:
Stefan Förster schrieb:
- Uwe Driessen driessen@fblan.de wrote:
Die Frage ist was soll damit bezweckt werden?
Ich benötige technischen Rat, genauer gesagt eine Antwort auf die Frage, ob das von mir skizzierte Vorgehen mittels relay_domains und einem Eintrag in der transport-Map so der schnellste und effektivste Weg ist, Mail für eine Domain zu verwerfen.
Rechtliche Rahmenbedingungen sowie die Suche nach dem Sinn solch einer Aktion sind irrelevant. Falls jemand ohne sie nicht schlafen kann, dann möge angenommen werden, es handle sich um ein internes Testsystem, womit beide Fragen zur Genüge beantwortet wären.
Ciao Stefan
Hallo Stefan, meinst du sowas ?
smtpd_sender_restrictions = permit_mynetworks, permit_sasl_authenticated, check_sender_access hash:/etc/postfix/sender_domain_blacklist
und in /etc/postfix/sender_domain_blacklist
boese-domain.de REJECT we dont like your domain name
nicht vergessen ein postmap hash:/etc/postfix/sender_domain_blacklist nach jeder Aenderung in der Table
und postfix zu reloaden
Achtung die config kann bei dir natuerlich anders aussehen
ups , jetz hab ich mich verlesen glaub ich mails fuer eine domain verwerfen wuerde mit check_recipient_access hash:/etc/postfix/recipient_domain_blacklist in smtpd_recipient_restrictions nach dem selben schema funktionieren durch den Standort der regel kann man das eigentlich recht gut steuern bzw man koennte auch eine policy machen
sorry ist wohl doch schon zu spaet fuer mich und die Mail list heute *g
participants (6)
-
Arne Hoffmann -
Jan P. Kessler -
Robert Felber -
Robert Schetterer -
Stefan Förster -
Uwe Driessen