Markus Eyrich schrieb:

Hallo,

Ich suche nach einer Möglichkeit einen Anti-Spam Gatway mittels Postfix einzurichten. Ich möchte einen Postfix Server vor einen Exchange Server schalten, dieser soll also keine lokalen Domains verwalten sondern einfach nur für diverse Domains Mail entgegen nehmen, diese auf Spam prüfen, notfalls noch prüfen ob das Konto auf dem Exchange existiert und dann an den Exchange per SMTP zustellen. Kann mir hier jemand evtl. ein bereits vorhandenes Howto oder teilweise Howto empfehlen oder mich in die richtige Richtung schubsen?

Vielen Dank.

Markus Eyrich

---

postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users

Hi, ich hab leider kein howto zu Hand aber ich betreibe mehrere postfix vor exchange in einem setup wie es bei einem backup mx ueblich ist als mx ist aber nur der postfix im dns eingetragen die mails werden ueber Transport an die exchange server weitergeleitet, der exchange liefert wiederum nur ueber den postfix als relay nach draussen.

In diesem setup gibt es bei mir keine user spezifischen black/whitelisten im spamassassin deshalb beutze ich einfach spampd fuer alle mails, und als antivir clamav-milter zusaetzlich noch postgrey und rbls das einzige was man regeln muss ist wie der postfix die gueltigen domain und emailadressen kennt ( relay_domains relay_recipients ),

Wie man diese files pflegt ist Geschmacksache ( und richtet sich stark an der Netzstruktur aus ) geht entweder ueber ssh oder zb ueber webmin, dann hat man eine gui ( auch fuer dritte zugaenglich ), denkbar waere auch eine ldap Abfrage am exchange, oder ein ldap import per cron script vom exchange, auch ein recipient verify per smtp am exchange ist moeglich allerdings ergeben diese Nachfrage Verfahren in realzeit natuerlich reichlich traffic zwischen den Servern, das beste sind schon feste listen, wenn man nicht allzuviele emailadressen und domains hat und sich auch nicht viel aendert ist das haendische Verfahren schon vertretbar.

Allgemein sollte man am besten die volle Kontrolle ueber beide Server haben, bei mehreren domains und exchange servern ist es auch gut einen sasl auth fuer den exchange am postfix relay einzurichten, weil man dann ueber den sasl user die domains die der exchnange uerb postfix relayen will einschraenken kann.

Es gibt dabei allerdings dadurch auch die Einschraenkung das wenn der Exchange mails umleitet der als Absender den Orginal Absender im from hat , das geht dann nicht mehr, dies funktioniert dann nur per weiterleitungs regel im Outlook ( hier wird der Orginal Empfaenger dann im from gefuehrt ), das kann ab Exchnage 2007 schon wieder anders sein, technet lesen !

Es ist allerdings ohnehin besser mails gleich am postfix umzuleiten zb mit sender bc maps etc.

Exchange unterscheidet sich in seinen Versionen teilweise stark und ist immer als Einheit mit Outlook zu sehen was manchmal zu ueberraschungen fuert, man sollte als speziell nach Errichtung der Config ein Auge auf die logs haben, ausserdem sollten die max mail groessen natuerlich auf einander abgestimmt sein, ganz nuetzlich ist bei gewissen ueberpruefungen auch gleich die standart Fehlermessages auf dem Postfix zu aendern zb bei reject unknown domain gleich einen 550 statt 450 senden, damit mails an nicht existierende domains gleich an exchange retur bouncen.

Der Exchange sollte niemals von aussen ausser von seinem postfix relay mails annehmen und auch nur uber sein relay ausliefern ( evtl ueber firewall sicherstellen typischerweise steht der exchange ja ohnehin im intranet und der postfix im internet/dmz

die verwendung eines zweiten postfix relays mit gesyncter config als backup mx sollte man aus Redundanz gruenden erwaegen.

Ausserdem sollte man in header/body checks ein paar regeln haben um backscatter zu vermeiden, bzw es sollte zb verhindert werden das per Abwesenheitsscript im exchange/outlook auf schon als spam markierte nach draussen geantwortet wird, aehnliches gilt auch fuer bounces etc.

Ausserdem sollte man schon auf dem postfix einige Vertipper in der Mailadresse per error Transport abfangen damit die Mails nicht in der Warteschlange duempeln.

Im Prinzip ist die Errichtung eines solchen Gateways keine grosse Sache und sehr effektiv, es kommt halt immer ein wenig daruf an wie die Ausgangssituation ist zb wieviele domains wieviele exchange. oder d alles unter einer Kontrolle oder mehrere Admins etc, darauf muss man das Setup halt zurechtschneidern.

Ich hatte schon oefter das Erlebins das nach Einfuehrung eines solchen Gateways die User glaubten ihr email waere defekt nur weil sie kaum mehr spam bekamen und sich die Admins fragten wie das praktisch mit kostenloser Software so effektiv moeglich ist.

Es werden fuer die richtig guten Loesungen auf dem Gebiet naemlich Unsummen verlangt, ich hab aber noch keine gesehen die besser waere als ein postfix gateway, zumindest fuer den normal User/Admin bei richtig grossen Mail/isp moegen da aber noch andere Gesichtspunkte eine Rolle spielen die dann auch den Einsatz von teuren Antispam gateways rechtfertigen.