[postfix-users] Config von primary-mx - Verwerfen ungültiger Adressen
Hallo @ll,
nachdem ich neulich aufgrund von Unausgeschlafenheit meinen Mailserver mal wieder für einige Zeit offline geschickt habe, habe ich mich entschlossen, dass ich einen backup-mx brauche. Ein befreundeter Admin wird mir einen backup-mx einrichten, der alle Mails an meine Domains ohne filtern annimmt und an meinen primary-mx weiterleitet. Da muss ich mich also nicht drum kümmern. Ein Filtern auf dem backup-mx ist aufgrund fehlender Rechte meinerseits nicht möglich. Außerdem wär auch zu viel Aufwand ständig zwei Datenbanken mit gültigen E-Mail-Adressen zu pflegen.
Worum ich mich also kümmern muss ist, dass mein primary-mx alle Mail vom backup-mx annimmt, damit seine Queue geleert wird. Meine Frage ist nun: Wie richte ich meinen primary-mx ein, so dass er einerseits alle Mails vom backup-mx annimmt und andererseits die ungültigen Mails aufgrund der lokalen Regeln verwirft? Ich möchte also dafür sorgen, dass der ganze Spam der beim backup-mx eintreffen wird nicht zu ihm zurück bounced, aber auch nicht in irgendein Postfach von mir ausgeliefert wird.
Um zu prüfen, ob eine E-Mail-Adresse gültig ist, verwende ich eine MySQL-DB mit diesen drei Tabellen: virtual_aliases, virtual_domains und virtual_users, erstellt auf Grundlage dieses Tutorials: http://workaround.org/ispmail/lenny Die Mails gehen dann anschließend über Spamassassin und AMaViS in Dovecot-Postfächer mit Sieve-Filtern.
Ich denke das ist ein recht häufig vorkommendes Setup, bin daher guter Hoffnung, dass diese Problemstellung schon jemand gelöst hat.
Beste Grüße, Timo Münster
'Timo Münster' schrieb am 23.03.2010 13:57:
Hallo @ll,
Worum ich mich also kümmern muss ist, dass mein primary-mx alle Mail vom backup-mx annimmt, damit seine Queue geleert wird. Meine Frage ist nun: Wie richte ich meinen primary-mx ein, so dass er einerseits alle Mails vom backup-mx annimmt und andererseits die ungültigen Mails aufgrund der lokalen Regeln verwirft? Ich möchte also dafür sorgen, dass der ganze
Das willst du nicht! Sobald es nen typo in der Adresse gibt wie postfx@tister.de wird der Absender niemals erfahren, dass die Mail nicht angekommen ist.
Der backup mx kann recipient-verification machen und die Ergebnisse cachen. dazu testet er per smtp ob du die mail annehmen würdest.
http://www.postfix.org/ADDRESS_VERIFICATION_README.html#recipient
http://www.postfix.org/ADDRESS_VERIFICATION_README.html#caching
Grüße, Florian
Hi @ll,
Florian Streibelt wrote:
'Timo Münster' schrieb am 23.03.2010 13:57:
Hallo @ll,
Worum ich mich also kümmern muss ist, dass mein primary-mx alle Mail vom backup-mx annimmt, damit seine Queue geleert wird. Meine Frage ist nun: Wie richte ich meinen primary-mx ein, so dass er einerseits alle Mails vom backup-mx annimmt und andererseits die ungültigen Mails aufgrund der lokalen Regeln verwirft? Ich möchte also dafür sorgen, dass der ganze
Das willst du nicht! Sobald es nen typo in der Adresse gibt wie postfx@tister.de wird der Absender niemals erfahren, dass die Mail nicht angekommen ist.
Der backup mx kann recipient-verification machen und die Ergebnisse cachen. dazu testet er per smtp ob du die mail annehmen würdest.
Ihr drei habt natürlich Recht, unser Vorhaben war nicht zu Ende gedacht. Vielen Dank für die Tipps! Ich werde das mal an dem Admin von meinem zukünftigen backup-mx weiterleiten. Sieht ja nicht sonderlich schwer aus, dass zu implementieren.
cheers, Timo
Am 23.03.2010 14:29, schrieb Timo Münster:
Hi @ll,
Florian Streibelt wrote:
'Timo Münster' schrieb am 23.03.2010 13:57:
Hallo @ll,
Worum ich mich also kümmern muss ist, dass mein primary-mx alle Mail vom backup-mx annimmt, damit seine Queue geleert wird. Meine Frage ist nun: Wie richte ich meinen primary-mx ein, so dass er einerseits alle Mails vom backup-mx annimmt und andererseits die ungültigen Mails aufgrund der lokalen Regeln verwirft? Ich möchte also dafür sorgen, dass der ganze
Das willst du nicht! Sobald es nen typo in der Adresse gibt wie postfx@tister.de wird der Absender niemals erfahren, dass die Mail nicht angekommen ist.
Der backup mx kann recipient-verification machen und die Ergebnisse cachen. dazu testet er per smtp ob du die mail annehmen würdest.
Ihr drei habt natürlich Recht, unser Vorhaben war nicht zu Ende gedacht. Vielen Dank für die Tipps! Ich werde das mal an dem Admin von meinem zukünftigen backup-mx weiterleiten. Sieht ja nicht sonderlich schwer aus, dass zu implementieren.
cheers, Timo _______________________________________________ postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
ich wuerde gar keinen mx eintrag fuer deinen sogeannten prim mx machen sondern den einfach alles ueber den backup mx annehmen und versenden lassen dann ist dein mail server fast "hidden"
der rest wurde schon gesagt
'Robert Schetterer' schrieb am 23.03.2010 14:42:
ich wuerde gar keinen mx eintrag fuer deinen sogeannten prim mx machen sondern den einfach alles ueber den backup mx annehmen und versenden lassen dann ist dein mail server fast "hidden"
Wie löst das das problem des OP bei Ausfall eines servers noch Mails zu queuen? Das Problem ist dann ja nur verschoben auf den Fall, dass der primäre MX ausfällt.
/Florian
Am 23.03.2010 15:14, schrieb Florian Streibelt:
'Robert Schetterer' schrieb am 23.03.2010 14:42:
ich wuerde gar keinen mx eintrag fuer deinen sogeannten prim mx machen sondern den einfach alles ueber den backup mx annehmen und versenden lassen dann ist dein mail server fast "hidden"
Wie löst das das problem des OP bei Ausfall eines servers noch Mails zu queuen? Das Problem ist dann ja nur verschoben auf den Fall, dass der primäre MX ausfällt.
/Florian
sender mailserver sollten bis zu 5 Tage die auslieferung wiederholen es braucht also nicht unbedingt 2 mx server, mal abgesehen davon dass auch ein bounce eine legitime Antwort auf eine mail ist und von Ausfallsicherheit war hier nie die Rede
es gibt haeufiger Setups dieser Tage die nur einen mx haben weil es eben aus diversen gruenden zu aufwendig ist die spam regeln auf allen gleich zu halten was dazu fuehren kann dass man eben entweder zuviel ablehnt auf einem server oder eben zu wenig, spammer versuchen zb haeufig uber den back mx einzuliefern
ein hidden bzw interner Mailserver der nur ueber ein oder mehrere relay server empfaengt ist eine haeufige Loesung bei exchange-postfix setups, Ausfallsicherheit , und kann wiederum ueber mehrere Methoden erreicht werden ,ist ein anderes Thema aber 5 Tage sollten eigentlich immer reichen um seien Maildienst wieder instand zu setzen, ausserdem kommt es halt auch immer auf dei prio an die mail fuer den user in so einem setup hat und wieviel er dafuer ausgibt usw usw
Am 23.03.2010 15:14, schrieb Florian Streibelt:
'Robert Schetterer' schrieb am 23.03.2010 14:42:
ich wuerde gar keinen mx eintrag fuer deinen sogeannten prim mx machen sondern den einfach alles ueber den backup mx annehmen und versenden lassen dann ist dein mail server fast "hidden"
Wie löst das das problem des OP bei Ausfall eines servers noch Mails zu queuen? Das Problem ist dann ja nur verschoben auf den Fall, dass der primäre MX ausfällt.
/Florian
sender mailserver sollten bis zu 5 Tage die auslieferung wiederholen es braucht also nicht unbedingt 2 mx server, mal abgesehen davon dass auch ein bounce eine legitime Antwort auf eine mail ist und von Ausfallsicherheit war hier nie die Rede
es gibt haeufiger Setups dieser Tage die nur einen mx haben weil es eben aus diversen gruenden zu aufwendig ist die spam regeln auf allen gleich zu halten was dazu fuehren kann dass man eben entweder zuviel ablehnt auf einem server oder eben zu wenig, spammer versuchen zb haeufig uber den back mx einzuliefern
ein hidden bzw interner Mailserver der nur ueber ein oder mehrere relay server empfaengt ist eine haeufige Loesung bei exchange-postfix setups, Ausfallsicherheit , und kann wiederum ueber mehrere Methoden erreicht werden ,ist ein anderes Thema aber 5 Tage sollten eigentlich immer reichen um seien Maildienst wieder instand zu setzen, ausserdem kommt es halt auch immer auf dei prio an die mail fuer den user in so einem setup hat und wieviel er dafuer ausgibt usw usw
PS
-----ts mein mailclient spinnt grade deshalb evtl ein doubel dieser mail
Hi Timo,
wie einige hier schon korrekterweise geschrieben haben, ist es sinnlos einen völlig fremden MX alles annehmen zu lassen.
Was wir für unsere Kunden machen und dir ggf. anbieten können, dass unsere Postfix Server als Inbound Server fungieren mit sämtlichen Anti Spam Funktionen und wir die ganzen Mails an deinen Primary relayen.
Der Primary ist dann aber nichtmehr wirklich Primary sondern einfach "hidden". Der wird aus dem MX Record komplett rausgenommen und unsere eingehenden Mailserver nehmen für deine Domain die Mails an und forwarden die automatisch an deinen Mailserver.
Je nach Mailaufkommen usw. wäre so etwas kostengünstig möglich. Falls du Interesse hast kannst du mir gerne eine Mail schreiben.
Meiner Ansicht nach wäre das die professionellste Lösung.
Mit freundlichen Grüßen
Morten Stevens
IMT-Systems GmbH Helfmann-Park 10 65760 Eschborn E-Mail: mstevens@imt-systems.com Internet: http://www.imt-systems.com Sitz der Gesellschaft: Eschborn am Taunus Eingetragen im Handelsregister Frankfurt am Main - HRB 86696 Geschäftsführer: Morten Stevens
-----Original Message----- From: postfix-users-bounces+mstevens=imt-systems.com@de.postfix.org [mailto:postfix-users-bounces+mstevens=imt-systems.com@de.postfix.org] On Behalf Of Timo Münster Sent: Tuesday, March 23, 2010 2:29 PM To: Mailing-Liste der deutschsprachigen Postfix Gemeinschaft Subject: Re: [postfix-users] Config von primary-mx - Verwerfen ungültiger Adressen
Hi @ll,
Florian Streibelt wrote:
'Timo Münster' schrieb am 23.03.2010 13:57:
Hallo @ll,
Worum ich mich also kümmern muss ist, dass mein primary-mx alle Mail vom backup-mx annimmt, damit seine Queue geleert wird. Meine Frage ist nun: Wie richte ich meinen primary-mx ein, so dass er einerseits alle Mails vom backup-mx annimmt und andererseits die ungültigen Mails aufgrund der lokalen Regeln verwirft? Ich möchte also dafür sorgen, dass der ganze
Das willst du nicht! Sobald es nen typo in der Adresse gibt wie postfx@tister.de wird der Absender niemals erfahren, dass die Mail nicht angekommen ist.
Der backup mx kann recipient-verification machen und die Ergebnisse cachen. dazu testet er per smtp ob du die mail annehmen würdest.
Ihr drei habt natürlich Recht, unser Vorhaben war nicht zu Ende gedacht. Vielen Dank für die Tipps! Ich werde das mal an dem Admin von meinem zukünftigen backup-mx weiterleiten. Sieht ja nicht sonderlich schwer aus, dass zu implementieren.
cheers, Timo _______________________________________________ postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Am 23.03.2010 15:24, schrieb Morten P.D. Stevens:
Hi Timo,
wie einige hier schon korrekterweise geschrieben haben, ist es sinnlos einen völlig fremden MX alles annehmen zu lassen.
Was wir für unsere Kunden machen und dir ggf. anbieten können, dass unsere Postfix Server als Inbound Server fungieren mit sämtlichen Anti Spam Funktionen und wir die ganzen Mails an deinen Primary relayen.
Der Primary ist dann aber nichtmehr wirklich Primary sondern einfach "hidden". Der wird aus dem MX Record komplett rausgenommen und unsere eingehenden Mailserver nehmen für deine Domain die Mails an und forwarden die automatisch an deinen Mailserver.
Je nach Mailaufkommen usw. wäre so etwas kostengünstig möglich. Falls du Interesse hast kannst du mir gerne eine Mail schreiben.
Meiner Ansicht nach wäre das die professionellste Lösung.
naja ausliefern muesst ihr aber schon auch fuer ihn , sonst werden ihn zuviele als spam quelle ansehen, wenn seine mails nicht von seinem mx eingetregen server kommen etc
Mit freundlichen Grüßen
Morten Stevens
IMT-Systems GmbH Helfmann-Park 10 65760 Eschborn
E-Mail: mstevens@imt-systems.com Internet: http://www.imt-systems.com
Sitz der Gesellschaft: Eschborn am Taunus Eingetragen im Handelsregister Frankfurt am Main - HRB 86696 Geschäftsführer: Morten Stevens
-----Original Message----- From: postfix-users-bounces+mstevens=imt-systems.com@de.postfix.org [mailto:postfix-users-bounces+mstevens=imt-systems.com@de.postfix.org] On Behalf Of Timo Münster Sent: Tuesday, March 23, 2010 2:29 PM To: Mailing-Liste der deutschsprachigen Postfix Gemeinschaft Subject: Re: [postfix-users] Config von primary-mx - Verwerfen ungültiger Adressen
Hi @ll,
Florian Streibelt wrote:
'Timo Münster' schrieb am 23.03.2010 13:57:
Hallo @ll,
Worum ich mich also kümmern muss ist, dass mein primary-mx alle Mail vom backup-mx annimmt, damit seine Queue geleert wird. Meine Frage ist nun: Wie richte ich meinen primary-mx ein, so dass er einerseits alle Mails vom backup-mx annimmt und andererseits die ungültigen Mails aufgrund der lokalen Regeln verwirft? Ich möchte also dafür sorgen, dass der ganze
Das willst du nicht! Sobald es nen typo in der Adresse gibt wie postfx@tister.de wird der Absender niemals erfahren, dass die Mail nicht angekommen ist.
Der backup mx kann recipient-verification machen und die Ergebnisse cachen. dazu testet er per smtp ob du die mail annehmen würdest.
Ihr drei habt natürlich Recht, unser Vorhaben war nicht zu Ende gedacht. Vielen Dank für die Tipps! Ich werde das mal an dem Admin von meinem zukünftigen backup-mx weiterleiten. Sieht ja nicht sonderlich schwer aus, dass zu implementieren.
cheers, Timo _______________________________________________ postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users _______________________________________________ postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
* "Morten P.D. Stevens" mstevens@imt-systems.com:
wie einige hier schon korrekterweise geschrieben haben, ist es sinnlos einen völlig fremden MX alles annehmen zu lassen.
Was wir für unsere Kunden machen und dir ggf. anbieten können, dass unsere Postfix Server als Inbound Server fungieren mit sämtlichen Anti Spam Funktionen und wir die ganzen Mails an deinen Primary relayen.
Der Primary ist dann aber nichtmehr wirklich Primary sondern einfach "hidden". Der wird aus dem MX Record komplett rausgenommen und unsere eingehenden Mailserver nehmen für deine Domain die Mails an und forwarden die automatisch an deinen Mailserver.
Je nach Mailaufkommen usw. wäre so etwas kostengünstig möglich. Falls du Interesse hast kannst du mir gerne eine Mail schreiben.
Meiner Ansicht nach wäre das die professionellste Lösung.
Du warst der mit 5 Blacklisten und ohne Policy-Service in der main.cf, der potenziell unzustellbare Mail angenommen hat, richtig?
Professionell, soso...
Flamen am Abend, erquickend und labend Stefan
Hallo Stefan,
Du warst der mit 5 Blacklisten und ohne Policy-Service in der main.cf, der potenziell unzustellbare Mail angenommen hat, richtig?
Wir nehmen keine potenziell unzustellbaren Mails an. Ich kann mir nicht erklären wie du darauf kommst ohne unsere Mailserver Konfiguration vollständig zu kennen? Zu Testzwecken haben wir vor dem Greylisting 5 Blacklists benutzt, mittlerweile jedoch nur noch ix.dnsbl.manitu.net sowie zen.spamhaus.org.
Um das richtig zu stellen: Bei einem Volumen von 50.000 Mails pro Tag haben wir derzeit bis auf 5-10 Mails pro Tag keinen Spam und diese 5-10 Mails werden durch Spamassassin gefiltert.
In dem letzten von mir erstellten Thema ging es lediglich darum Anregungen zu sammeln um unsere Systeme noch weiter zu optimieren und den Spam praktisch auf null zu verringern was uns durch den Einsatz von Greylisting mittlerweile so gut wie gelungen ist.
Professionell, soso...
Was du daran unprofessionell findest kannst du mir gerne auch nochmal direkt per E-Mail schildern, da dies ja nicht zwangsläufig Gegenstand dieser Mailinglist ist.
Vielen Dank für dein Verständnis.
Mit freundlichen Grüßen
Morten Stevens
IMT-Systems GmbH Helfmann-Park 10 65760 Eschborn E-Mail: mstevens@imt-systems.com Internet: http://www.imt-systems.com
Sitz der Gesellschaft: Eschborn am Taunus Eingetragen im Handelsregister Frankfurt am Main - HRB 86696 Geschäftsführer: Morten Stevens
-----Original Message----- From: postfix-users-bounces+mstevens=imt-systems.com@de.postfix.org [mailto:postfix-users-bounces+mstevens=imt-systems.com@de.postfix.org] On Behalf Of Stefan Foerster Sent: Tuesday, March 23, 2010 7:22 PM To: postfix-users@de.postfix.org Subject: Re: [postfix-users] Config von primary-mx - Verwerfen ungültiger Adressen
* "Morten P.D. Stevens" mstevens@imt-systems.com:
wie einige hier schon korrekterweise geschrieben haben, ist es sinnlos einen völlig fremden MX alles annehmen zu lassen.
Was wir für unsere Kunden machen und dir ggf. anbieten können, dass unsere Postfix Server als Inbound Server fungieren mit sämtlichen Anti Spam Funktionen und wir die ganzen Mails an deinen Primary relayen.
Der Primary ist dann aber nichtmehr wirklich Primary sondern einfach "hidden". Der wird aus dem MX Record komplett rausgenommen und unsere eingehenden Mailserver nehmen für deine Domain die Mails an und forwarden die automatisch an deinen Mailserver.
Je nach Mailaufkommen usw. wäre so etwas kostengünstig möglich. Falls du Interesse hast kannst du mir gerne eine Mail schreiben.
Meiner Ansicht nach wäre das die professionellste Lösung.
Du warst der mit 5 Blacklisten und ohne Policy-Service in der main.cf, der potenziell unzustellbare Mail angenommen hat, richtig?
Professionell, soso...
Flamen am Abend, erquickend und labend Stefan _______________________________________________ postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
* "Morten P.D. Stevens" mstevens@imt-systems.com:
Du warst der mit 5 Blacklisten und ohne Policy-Service in der main.cf, der potenziell unzustellbare Mail angenommen hat, richtig?
Wir nehmen keine potenziell unzustellbaren Mails an. Ich kann mir nicht erklären wie du darauf kommst ohne unsere Mailserver Konfiguration vollständig zu kennen?
Aus einer anderen Mail von Dir:
smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks, ... Zeug, das eigentlich davor gehört ...
Ich fantasier mir nun ja nicht alles, was ich täglich so von mir gebe, einfach nur so daher.
Stefan
-----Original Message----- From: postfix-users-bounces+mstevens=imt-systems.com@de.postfix.org [mailto:postfix-users-bounces+mstevens=imt-systems.com@de.postfix.org] On Behalf Of Stefan Foerster Sent: Tuesday, March 23, 2010 8:12 PM To: postfix-users@de.postfix.org Subject: Re: [postfix-users] Config von primary-mx - Verwerfen ungültiger Adressen
Aus einer anderen Mail von Dir:
smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks, ... Zeug, das eigentlich davor gehört ...
Wo ist dabei deiner Ansicht nach das Problem?
Das "Zeug" kann man davor setzen, muss man aber nicht.
Außerdem sparst du damit unnötige Überprüfungen.
* "Morten P.D. Stevens" mstevens@imt-systems.com:
smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks, ... Zeug, das eigentlich davor gehört ...
Wo ist dabei deiner Ansicht nach das Problem?
Du machst Dir nicht die Mühe, zu überprüfen, ob wenigstens die Domains des Absenders und des Empfängers existieren - 100%ig sicher kannst Du nie sein, aber gerade bei permit_sasl_authenticated (da sind Benutzer im Spiel, und meiner Erfahrung nach können sich 90% der Nutzer nichtmal alleine die Schuhe binden) ist das fast schon fahrlässig.
Du nimmst nicht-qualifizierte Sender- und Empfängeradressen an - wenn Du mir sagst, Du weißt aus dem Kopf, was da alles komplettiert wird, schön für Dich, aber da dürftest Du einer von wenigen sein.
Außerdem sparst du damit unnötige Überprüfungen.
Die reject_unlisted_foo-Überprüfungen werden so oder so gemacht, bleibt also nur ein extrem billiger String-Vergleich und eine DNS-Anfrage, die bei dem Gros der einliefernden Kandidaten, die ja gerade im Geschäftsumfeld Wiederholungstäter sind, wohl kaum auffällt.
Und wenn Du bei 50000 Mails am Tag eine Reject-Rate von 1:1000 hast, sind das gerade Mal 50 Millionen Verbindungen am Tag - da braucht es nicht wirklich solche Optimierungen.
Stefan
P.S: Liest Du die 50000 Mails alle selber oder woher weißt Du, daß da nur 5-10 Spams durchkommen?
-----Original Message----- From: postfix-users-bounces+mstevens=imt-systems.com@de.postfix.org [mailto:postfix-users-bounces+mstevens=imt-systems.com@de.postfix.org] On Behalf Of Stefan Foerster Sent: Tuesday, March 23, 2010 8:48 PM To: postfix-users@de.postfix.org Subject: Re: [postfix-users] Config von primary-mx - Verwerfen ungültiger Adressen
- "Morten P.D. Stevens" mstevens@imt-systems.com:
smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks, ... Zeug, das eigentlich davor gehört ...
Wo ist dabei deiner Ansicht nach das Problem?
Du machst Dir nicht die Mühe, zu überprüfen, ob wenigstens die Domains des Absenders und des Empfängers existieren - 100%ig sicher kannst Du nie sein, aber gerade bei permit_sasl_authenticated (da sind Benutzer im Spiel, und meiner Erfahrung nach können sich 90% der Nutzer nichtmal alleine die Schuhe binden) ist das fast schon fahrlässig.
Du nimmst nicht-qualifizierte Sender- und Empfängeradressen an - wenn Du mir sagst, Du weißt aus dem Kopf, was da alles komplettiert wird, schön für Dich, aber da dürftest Du einer von wenigen sein.
Das ist doch mal eine verwertbare Aussage. In dem Punkte stimme ich dir auch zu zumindest bei sasl_authenticated. Bei uns gibt aber sowieso keine SASL User weil wir keine typischen User haben die das mit ihrem eigenen Mailclient machen sondern ausschließlich Unternehmen deren Server sich an einem anderen Server von uns authentifizieren (und dieser Server macht sowieso solche Überprüfungen wie FQDN, Sender, Empfänger usw.) und der sendet dann über einen der großen Postfix Server raus. In my_networks stehen von daher auch nur IP´s aus unserem Rechenzentrum und keine externen. Somit hat kein User/Kunde direkten Zugriff auf unsere ein/ausgehenden Postfix Server. Vermutlich hast du durch den überflüssigen sasl_authenticated Eintrag gedacht, das dem anders wäre und User direkt über unsere großen Postfixserver senden können. Das wäre dann in der Tat grob fahrlässig.
Von daher spielen die zwei von dir genannten Punkte in unserer Konstellation praktisch keinerlei Rolle.
An der Stelle trotzdem nochmal vielen Dank für den Hinweis. In typischen Endanwender - Provider Szenarien hast du vollkommen Recht.
Nichtsdestotrotz werde ich dann den überflüssigen sasl_authenticated Eintrag rauswerfen. Auch wenn das in unserer Konstellation keinerlei Änderungen bewirkt :)
Jetzt dürfte dir evtl. auch klar sein, warum mir nicht klar war worauf du vorhin hinaus wolltest.
P.S: Liest Du die 50000 Mails alle selber oder woher weißt Du, daß da nur 5-10 Spams durchkommen?
Weil wir einige Logs auswerten wie z.B. den von Spamassassin. Die Zahlen können natürlich trotzdem leicht variieren.
Viele Grüße
Morten
* "Morten P.D. Stevens" mstevens@imt-systems.com:
Jetzt dürfte dir evtl. auch klar sein, warum mir nicht klar war worauf du vorhin hinaus wolltest.
Vollkommen :-)
Stefan
Am 23.03.2010 20:07, schrieb Morten P.D. Stevens:
Hallo Stefan,
Du warst der mit 5 Blacklisten und ohne Policy-Service in der main.cf, der potenziell unzustellbare Mail angenommen hat, richtig?
Wir nehmen keine potenziell unzustellbaren Mails an. Ich kann mir nicht erklären wie du darauf kommst ohne unsere Mailserver Konfiguration vollständig zu kennen? Zu Testzwecken haben wir vor dem Greylisting 5 Blacklists benutzt, mittlerweile jedoch nur noch ix.dnsbl.manitu.net sowie zen.spamhaus.org.
Um das richtig zu stellen: Bei einem Volumen von 50.000 Mails pro Tag haben wir derzeit bis auf 5-10 Mails pro Tag keinen Spam und diese 5-10 Mails werden durch Spamassassin gefiltert.
In dem letzten von mir erstellten Thema ging es lediglich darum Anregungen zu sammeln um unsere Systeme noch weiter zu optimieren und den Spam praktisch auf null zu verringern was uns durch den Einsatz von Greylisting mittlerweile so gut wie gelungen ist.
Professionell, soso...
Was du daran unprofessionell findest kannst du mir gerne auch nochmal direkt per E-Mail schildern, da dies ja nicht zwangsläufig Gegenstand dieser Mailinglist ist.
hi Morten, Aehm, ich will ja jetzt nicht der Spielverderber sein aber ich fand es auch etwas befremdlich dass du hier ueber die Liste deine Firma promoted hast, viele hier haben Firmen und es ist natuerlich auch nicht verboten seine Dienste anzubieten aber dann besser offlist, hier sollte es wenn moeglich nur um technisches gehen, wenn das hier jeder machen wuerde waere das hier eher sowas wie Werbefernsehen rund um postfix, nach dem Motto , mein Postfix waescht aber weisser als deins *g
Vielen Dank für dein Verständnis.
Mit freundlichen Grüßen
Morten Stevens
IMT-Systems GmbH Helfmann-Park 10 65760 Eschborn
E-Mail: mstevens@imt-systems.com Internet: http://www.imt-systems.com
Sitz der Gesellschaft: Eschborn am Taunus Eingetragen im Handelsregister Frankfurt am Main - HRB 86696 Geschäftsführer: Morten Stevens
-----Original Message----- From: postfix-users-bounces+mstevens=imt-systems.com@de.postfix.org [mailto:postfix-users-bounces+mstevens=imt-systems.com@de.postfix.org] On Behalf Of Stefan Foerster Sent: Tuesday, March 23, 2010 7:22 PM To: postfix-users@de.postfix.org Subject: Re: [postfix-users] Config von primary-mx - Verwerfen ungültiger Adressen
- "Morten P.D. Stevens" mstevens@imt-systems.com:
wie einige hier schon korrekterweise geschrieben haben, ist es sinnlos einen völlig fremden MX alles annehmen zu lassen.
Was wir für unsere Kunden machen und dir ggf. anbieten können, dass unsere Postfix Server als Inbound Server fungieren mit sämtlichen Anti Spam Funktionen und wir die ganzen Mails an deinen Primary relayen.
Der Primary ist dann aber nichtmehr wirklich Primary sondern einfach "hidden". Der wird aus dem MX Record komplett rausgenommen und unsere eingehenden Mailserver nehmen für deine Domain die Mails an und forwarden die automatisch an deinen Mailserver.
Je nach Mailaufkommen usw. wäre so etwas kostengünstig möglich. Falls du Interesse hast kannst du mir gerne eine Mail schreiben.
Meiner Ansicht nach wäre das die professionellste Lösung.
Du warst der mit 5 Blacklisten und ohne Policy-Service in der main.cf, der potenziell unzustellbare Mail angenommen hat, richtig?
Professionell, soso...
Flamen am Abend, erquickend und labend Stefan _______________________________________________ postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users _______________________________________________ postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
On Behalf Of Timo Münster
Hallo @ll,
nachdem ich neulich aufgrund von Unausgeschlafenheit meinen Mailserver mal wieder für einige Zeit offline geschickt habe, habe ich mich entschlossen, dass ich einen backup-mx brauche. Ein befreundeter Admin wird mir einen backup-mx einrichten, der alle Mails an meine Domains ohne filtern annimmt und an meinen primary-mx weiterleitet. Da muss ich mich also nicht drum kümmern. Ein Filtern auf dem backup-mx ist aufgrund fehlender Rechte meinerseits nicht möglich. Außerdem wär auch zu viel Aufwand ständig zwei Datenbanken mit gültigen E-Mail-Adressen zu pflegen.
Grundsätzlich muß ein MX1 = MX2 und umgekehrt in der Einrichtung entsprechen. Gleiche Restriktionen, gleiche Filter
Alles andere ist Murks und ist contraproduktiv! Verhalten der Spamer da Backup alles annimmt wird einfach an den Backup eingeliefert
mit verify kann man prüfen das nur gültige Adressen angenommen werden.
Worum ich mich also kümmern muss ist, dass mein primary-mx alle Mail vom backup-mx annimmt, damit seine Queue geleert wird. Meine Frage ist nun: Wie richte ich meinen primary-mx ein, so dass er einerseits alle Mails vom backup-mx annimmt und andererseits die ungültigen Mails aufgrund der lokalen Regeln verwirft? Ich möchte also dafür sorgen, dass der ganze Spam der beim backup-mx eintreffen wird nicht zu ihm zurück bounced, aber auch nicht in irgendein Postfach von mir ausgeliefert wird.
Um zu prüfen, ob eine E-Mail-Adresse gültig ist, verwende ich eine MySQL-DB mit diesen drei Tabellen: virtual_aliases, virtual_domains und virtual_users, erstellt auf Grundlage dieses Tutorials: http://workaround.org/ispmail/lenny Die Mails gehen dann anschließend über Spamassassin und AMaViS in Dovecot-Postfächer mit Sieve-Filtern.
Ich denke das ist ein recht häufig vorkommendes Setup, bin daher guter Hoffnung, dass diese Problemstellung schon jemand gelöst hat.
Mit freundlichen Grüßen
Drießen
Hallo Timo!
Davon kann ich dir nur abraten... warum will dein Kumpel denn keine Filter einbauen?
Die Sach mit den 2 Userdatenbanken kann Postfix sehr angenehm per reject_unverified_recipient blocken. Postfix fragt den Relay-Host nach der Empfänger-Gültigkeit...
Damit die Sachen in einem Cache landen: # um die Empfänger-Liste dauerhaft cachen zu können address_verify_map = btree:/var/spool/postfix/data/verify
(Zieldatei ist nur ein Beispiel)
Der Backup-MX wird auch sehr gerne direkt von Spammern verwendet, da diese (wie auch bei dir geplant) oft schlechteren Schutz bieten.
Und eine saubere Filterung erzeugt nicht viel Systemlast - je nach Mailflut :)
LG Tony Wolf
-----Original Message----- From: postfix-users-bounces+tony.wolf=ameropa.de@de.postfix.org [mailto:postfix-users-bounces+tony.wolf=ameropa.de@de.postfix.org] On Behalf Of Timo Münster Sent: Tuesday, March 23, 2010 1:57 PM To: Mailing-Liste der deutschsprachigen Postfix Gemeinschaft Subject: [postfix-users] Config von primary-mx - Verwerfen ungültiger Adressen
Hallo @ll,
nachdem ich neulich aufgrund von Unausgeschlafenheit meinen Mailserver mal wieder für einige Zeit offline geschickt habe, habe ich mich entschlossen, dass ich einen backup-mx brauche. Ein befreundeter Admin wird mir einen backup-mx einrichten, der alle Mails an meine Domains ohne filtern annimmt und an meinen primary-mx weiterleitet. Da muss ich mich also nicht drum kümmern. Ein Filtern auf dem backup-mx ist aufgrund fehlender Rechte meinerseits nicht möglich. Außerdem wär auch zu viel Aufwand ständig zwei Datenbanken mit gültigen E-Mail-Adressen zu pflegen.
Worum ich mich also kümmern muss ist, dass mein primary-mx alle Mail vom backup-mx annimmt, damit seine Queue geleert wird. Meine Frage ist nun: Wie richte ich meinen primary-mx ein, so dass er einerseits alle Mails vom backup-mx annimmt und andererseits die ungültigen Mails aufgrund der lokalen Regeln verwirft? Ich möchte also dafür sorgen, dass der ganze Spam der beim backup-mx eintreffen wird nicht zu ihm zurück bounced, aber auch nicht in irgendein Postfach von mir ausgeliefert wird.
Um zu prüfen, ob eine E-Mail-Adresse gültig ist, verwende ich eine MySQL-DB mit diesen drei Tabellen: virtual_aliases, virtual_domains und virtual_users, erstellt auf Grundlage dieses Tutorials: http://workaround.org/ispmail/lenny Die Mails gehen dann anschließend über Spamassassin und AMaViS in Dovecot-Postfächer mit Sieve-Filtern.
Ich denke das ist ein recht häufig vorkommendes Setup, bin daher guter Hoffnung, dass diese Problemstellung schon jemand gelöst hat.
Beste Grüße, Timo Münster _______________________________________________ postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Am 23.03.2010 13:57, schrieb Timo Münster:
Hallo @ll,
nachdem ich neulich aufgrund von Unausgeschlafenheit meinen Mailserver mal wieder für einige Zeit offline geschickt habe, habe ich mich entschlossen, dass ich einen backup-mx brauche. Ein befreundeter Admin wird mir einen backup-mx einrichten, der alle Mails an meine Domains ohne filtern annimmt und an meinen primary-mx weiterleitet. Da muss ich mich also nicht drum kümmern. Ein Filtern auf dem backup-mx ist aufgrund fehlender Rechte meinerseits nicht möglich. Außerdem wär auch zu viel Aufwand ständig zwei Datenbanken mit gültigen E-Mail-Adressen zu pflegen.
du muss dem backmx sagen er soll fuer deine domain ein recipient verify ueber smtp machen am prim mx machen und cachen befor er eine mail fuer dich annimmt das ist das mindeste heut zu Tage
ansonsten muss du halt sehen das nicht nacher bounced bei viren und spam ohne bloedsinn, nicht vorhandene empfaenger duerfte es ja nicht geben also keien bounces deswegen, bliebe noch quota oder vaccation etc , das musst du versuchen klug abzufangen
ansonsten firewall regel port 25 nur vom backup mx , selber einliefern ueber anderen port zb submission
Worum ich mich also kümmern muss ist, dass mein primary-mx alle Mail vom backup-mx annimmt, damit seine Queue geleert wird. Meine Frage ist nun: Wie richte ich meinen primary-mx ein, so dass er einerseits alle Mails vom backup-mx annimmt und andererseits die ungültigen Mails aufgrund der lokalen Regeln verwirft? Ich möchte also dafür sorgen, dass der ganze Spam der beim backup-mx eintreffen wird nicht zu ihm zurück bounced, aber auch nicht in irgendein Postfach von mir ausgeliefert wird.
Um zu prüfen, ob eine E-Mail-Adresse gültig ist, verwende ich eine MySQL-DB mit diesen drei Tabellen: virtual_aliases, virtual_domains und virtual_users, erstellt auf Grundlage dieses Tutorials: http://workaround.org/ispmail/lenny Die Mails gehen dann anschließend über Spamassassin und AMaViS in Dovecot-Postfächer mit Sieve-Filtern.
Ich denke das ist ein recht häufig vorkommendes Setup, bin daher guter Hoffnung, dass diese Problemstellung schon jemand gelöst hat.
Beste Grüße, Timo Münster _______________________________________________ postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
* Timo Münster postfix@tister.de:
Worum ich mich also kümmern muss ist, dass mein primary-mx alle Mail vom backup-mx annimmt, damit seine Queue geleert wird. Meine Frage ist nun: Wie richte ich meinen primary-mx ein, so dass er einerseits alle Mails vom backup-mx annimmt
Da musste nix machen
und andererseits die ungültigen Mails aufgrund der lokalen Regeln verwirft?
Was ist denn eine ungültige Mail?
Ich möchte also dafür sorgen, dass der ganze Spam der beim backup-mx eintreffen wird nicht zu ihm zurück bounced, aber auch nicht in irgendein Postfach von mir ausgeliefert wird.
Dann braucht dein Backup MX eine Liste der gültigen Empfänger und einen adäquaten Spamschutz, der deinem gleich ist.
participants (8)
-
Florian Streibelt -
Morten P.D. Stevens -
Ralf Hildebrandt -
Robert Schetterer -
Stefan Foerster -
Timo Münster -
Uwe Driessen -
Wolf Tony