Hi,

* Jochen Fahrner jf@fahrner.name:

wenn ich die Doku richtig verstanden habe, kann man bei postscreen_access_list nur cidr: Tabellen angeben, keine Tabellen die Doaminnamen beinhalten.

das ist prinzipbedingt so. Ganz am Anfagn, dann wenn postscreen-Regeln ausgeführt werden, ist Zeit Mangelware. Da muss es so schnell wie irgendmöglich gehen. Aus diesem Grund hantiert Postfix zu dem Zeitpunkt nur mit IP-Adressen. Vergleichsweise lange DNS Lookups vermeidet es in dem Moment wo immer möglich.

Wäre auch in guter DOS-Vektor. Reverse-Zonen auf NS-Server legen, die künstlich gebremst sind. Da kommt die Plattform zum Stillstand, weil alle Postfix-Prozesse damit beschäftigt sind, Antworten auf DNS-Abragen abzuwarten...

Ich würde gerne auf die dnswl.org Whitelist verzichten, und die Mailserver von z.B. GMX explizit erlauben. So wie es aussieht, versenden nur Server aus der Domain mout.gmx.net die Mails von GMX. Jetzt könnte ich die IP-Adressen dieser Server aus dem DNS auslesen und in eine

Besser ist, Du baust Dir ein Skript mit dem Du regelmäßig die SPF-Records der Domain abfrägst. Da steht drin von wo sie legitim kommen:

$ dig TXT gmx.net +short "v=spf1 ip4:213.165.64.0/23 ip4:74.208.5.64/26 ip4:212.227.126.128/25 ip4:212.227.15.0/25 ip4:212.227.17.0/27 ip4:74.208.4.192/26 ip4:82.165.159.0/24 ip4:217.72.207.0/27 -all" "google-site-verification=J0NZ2F6kdhXzsguHSKZTm3CWujnrImftkDG3zhz14g0"

Darauf kannst Du auch bauen. Wenn die einen neuen Host/ein neues Netz in Spiel bringen wollen, dann müssen sie *vorher* den SPF-Eintrag setzen. Andernfalls, wenn sie den Host vor dem Setzen von SPF in Betrieb nehmen, hätten sie selbst empfindliche Einbußen in der deliverability bis hin zum Verwerfen von Nachrichten (-> DMARC).

CIDR-Tabelle eintragen, aber die können sich ja auch mal ändern. Lassen sich im postscreen auch Domains whitelisten?

Nein, sie lassen sich nicht whitelisten. Würde ich auch nicht tun, selbst wenn es möglich wäre. Bau Dir so ein Skript.

p@rick