[postfix-users] Helo Whitelist
Hallo zusammen,
gibt es eine Möglichkeit ein Helo zu whitelisten? zB habe ich das Problem das ein Empfänger über eine Alias Umleitung geht, dann ändert sich der Helo natürlich, da dann aber die DNS MX Einstellungen nicht mehr stimmen lehnt mein postfix die ab, also würde ich gerne den Helo durchlassen.
Grüsse
Jörg
Hallo,
Am Mi, 11.07.12 um 11:39:01 Uhr schrieb J Stephan j@stephanws.de:
Hallo zusammen,
gibt es eine Möglichkeit ein Helo zu whitelisten? zB habe ich das Problem das ein Empfänger über eine Alias Umleitung geht, dann ändert sich der Helo natürlich, da dann aber die DNS MX Einstellungen nicht mehr stimmen lehnt mein postfix die ab, also würde ich gerne den Helo durchlassen.
Bitte sende mail Deine postfix konfiguration, insbesondere die eingestellten restrictions.
Mir ist ausserdem nicht klar, was du mit dem alias meinst und warum sich dadurch der helo ändern würde.
Ein Auzug aus dem Logfile mit dem entsprechenden Abschnitt wäre auch hilfreich, meine Glaskugel funktioniert heute nicht ganz so gut.
Grüße, Florian
On 07/11/12 11:39, J Stephan wrote:
gibt es eine Möglichkeit ein Helo zu whitelisten? zB habe ich das
Im Prinzip ja: check_helo_access (http://www.postfix.org/postconf.5.html#check_helo_access)
... aber ein check_client_access um die Server-IP (vor policyd-weight?) zu whitelisten ist vermutlich sinnvoller.
Am 11.07.2012 11:39, schrieb J Stephan:
Hallo zusammen,
gibt es eine Möglichkeit ein Helo zu whitelisten? zB habe ich das Problem das ein Empfänger über eine Alias Umleitung geht, dann ändert sich der Helo natürlich, da dann aber die DNS MX Einstellungen nicht mehr stimmen lehnt mein postfix die ab, also würde ich gerne den Helo durchlassen.
Grüsse
Jörg _______________________________________________ postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
guggste mal hier das ist ein Bsp
http://www.unixwiz.net/techtips/postfix-HELO.html
Hallo,
danke Robert das hat geholfen.
Allgemein. Das Problem ist zB
hat man eine Weiterleitung bei zB der nic.name eingetragen, so leitet diese alle emails an bla@blabla.name an deine Adresse weiter. Also ergibt sich folgendes Problem
mx.aaa.bb gibt seine email bei nic.name ab, diese versendet dann als mx.nic.name die email von ich@aaa.bb and die Zieladresse, also haben wir einen DNS MX fehler, da nic.name kein gültiger mx für aaa.bb ist.
On 11.07.2012 12:48, Robert Schetterer wrote:
guggste mal hier das ist ein Bsp http://www.unixwiz.net/techtips/postfix-HELO.html
Grüsse
Jörg
Hallo Jörg,
Am 11.07.12 15:37, schrieb J Stephan:
danke Robert das hat geholfen.
Allgemein. Das Problem ist zB
hat man eine Weiterleitung bei zB der nic.name eingetragen, so leitet diese alle emails an bla@blabla.name an deine Adresse weiter. Also ergibt sich folgendes Problem
mx.aaa.bb gibt seine email bei nic.name ab, diese versendet dann als mx.nic.name die email von ich@aaa.bb and die Zieladresse, also haben wir einen DNS MX fehler, da nic.name kein gültiger mx für aaa.bb ist.
MX-Records sind für die Zustellung von E-Mail relevant, nicht für den Versand.
Das einzige was in Deinem Szenario hinsichtlich des DNS Probleme bereitet, wären SPF-Records. Und die sind genau aus diesem Grund (Weiterleitungen) problematisch.
Wenn Du also Dein Postfix so konfiguriert hast, das der Helo-Name mit dem Domain-Part des Envelop-From übereinstimmen muss, hast Du Dein System falsch konfiguriert!
Viele Grüße, Mathias.
Am 11.07.2012 18:39, schrieb Mathias Jeschke:
Hallo Jörg,
Am 11.07.12 15:37, schrieb J Stephan:
danke Robert das hat geholfen.
Allgemein. Das Problem ist zB
hat man eine Weiterleitung bei zB der nic.name eingetragen, so leitet diese alle emails an bla@blabla.name an deine Adresse weiter. Also ergibt sich folgendes Problem
mx.aaa.bb gibt seine email bei nic.name ab, diese versendet dann als mx.nic.name die email von ich@aaa.bb and die Zieladresse, also haben wir einen DNS MX fehler, da nic.name kein gültiger mx für aaa.bb ist.
MX-Records sind für die Zustellung von E-Mail relevant, nicht für den Versand.
Das einzige was in Deinem Szenario hinsichtlich des DNS Probleme bereitet, wären SPF-Records. Und die sind genau aus diesem Grund (Weiterleitungen) problematisch.
Wenn Du also Dein Postfix so konfiguriert hast, das der Helo-Name mit dem Domain-Part des Envelop-From übereinstimmen muss, hast Du Dein System falsch konfiguriert!
Viele Grüße, Mathias.
postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
wie auch immer, es kann immer mal vorkommen dass man ein helo whitelisten muss, es gibt in dieser Hinsicht tonnenweise falsche oder defekte setups bzw software im www
Am 12.07.12 08:32, schrieb Robert Schetterer:
wie auch immer, es kann immer mal vorkommen dass man ein helo whitelisten muss, es gibt in dieser Hinsicht tonnenweise falsche oder defekte setups bzw software im www
Die entscheidende Frage ist doch eher, ob man HELO-basierte Prüfungen in Postfix einbaut, oder ob man diesen Quatsch aufgrund der offenbar zu hohen False-Positive-Rate bleiben lässt?
Viele Grüße, Mathias.
Am 12.07.2012 09:17, schrieb Mathias Jeschke:
Am 12.07.12 08:32, schrieb Robert Schetterer:
wie auch immer, es kann immer mal vorkommen dass man ein helo whitelisten muss, es gibt in dieser Hinsicht tonnenweise falsche oder defekte setups bzw software im www
Die entscheidende Frage ist doch eher, ob man HELO-basierte Prüfungen in Postfix einbaut, oder ob man diesen Quatsch aufgrund der offenbar zu hohen False-Positive-Rate bleiben lässt?
Viele Grüße, Mathias. _______________________________________________ postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Hi Mathias, das kann jeder halten wie er will es gibt ein paar sinnvolle helo checks die auch allgemein keine grossen false postives erzeugen, die Entscheidungshilfe dabei ist eine lokale log Analyse, benutzt man ein helo filtering, ist es in jedem Fall gut zu wissen wie man eine Ausnahme definiert, wie so oft ,gibt es hierzu keine universale richtige Antwort , sondern es ist eben eine Entscheidung die man eben trifft ,wenn sie sinnvoll erscheint ,gruendend auf hoffentlich intelligente Abwaegungen und zb Berufserfahrung
Hallo,
ich muss leider zugeben das ich es die ganze Zeit für einleuchtend fand das eine email von einer senderadresse auch von einem dementsprechendem Host kommen muss. Also das das Helo von einem Server kommen muss der auch MX für die domain ist. Also kein reiner MX domain = sender domain aber halt MX domain ist ein MX der sender domain.
Also zB
MX für stephanws.de ist der mx.xadmin.info, also wenn ich über meinem MX versende habe ich keine Helo Problem. Würde ich einen anderen Ausgehendenserver benutzen der sich mx.weissgottwas.de im Helo meldet habe ich ein Helo Problem.
Ich hielt es für logisch so etwas zu beschränken, da ich dann eine (vll. kleine) Menge SPAM vermeiden kann
Grüsse
Am 12.07.2012 09:45, schrieb J Stephan:
Hallo,
ich muss leider zugeben das ich es die ganze Zeit für einleuchtend fand das eine email von einer senderadresse auch von einem dementsprechendem Host kommen muss. Also das das Helo von einem Server kommen muss der auch MX für die domain ist. Also kein reiner MX domain = sender domain aber halt MX domain ist ein MX der sender domain.
Also zB
MX für stephanws.de ist der mx.xadmin.info, also wenn ich über meinem MX versende habe ich keine Helo Problem. Würde ich einen anderen Ausgehendenserver benutzen der sich mx.weissgottwas.de im Helo meldet habe ich ein Helo Problem.
Ich hielt es für logisch so etwas zu beschränken, da ich dann eine (vll. kleine) Menge SPAM vermeiden kann
Grüsse
postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
ich nutze zb auf einigen meiner server in etwa sowas, aber bitte nicht blind copy paste machen, parameter gegebenfalls nachlesen, an deinen server anpassen
smtpd_helo_restrictions = permit_sasl_authenticated, permit_mynetworks, check_helo_access hash:/etc/postfix/helo_access, reject_invalid_hostname, reject_non_fqdn_hostname, reject_unauth_pipelining
/etc/postfix/helo_access
ausnahmedomain.de OK gesperrte-eigene.domain REJECT You are not me mein.host.name REJECT You are not me 1.2.3.4 REJECT You are not me localhost REJECT i am localhost dsldevice.lan REJECT well known spam helo
reject_invalid_helo_hostname (with Postfix < 2.3: reject_invalid_hostname) Reject the request when the HELO or EHLO hostname is malformed. Note: specify "smtpd_helo_required = yes" to fully enforce this restriction (without "smtpd_helo_required = yes", a client can simply skip reject_invalid_helo_hostname by not sending HELO or EHLO). The invalid_hostname_reject_code specifies the response code for rejected requests (default: 501).
reject_non_fqdn_helo_hostname (with Postfix < 2.3: reject_non_fqdn_hostname) Reject the request when the HELO or EHLO hostname is not in fully-qualified domain form, as required by the RFC. Note: specify "smtpd_helo_required = yes" to fully enforce this restriction (without "smtpd_helo_required = yes", a client can simply skip reject_non_fqdn_helo_hostname by not sending HELO or EHLO). The non_fqdn_reject_code parameter specifies the response code for rejected requests (default: 504).
Am Do, 12.07.12 um 10:11:40 Uhr schrieb Robert Schetterer robert@schetterer.org:
/etc/postfix/helo_access
ausnahmedomain.de OK gesperrte-eigene.domain REJECT You are not me mein.host.name REJECT You are not me 1.2.3.4 REJECT You are not me localhost REJECT i am localhost dsldevice.lan REJECT well known spam helo
ohjah, kommt mir bekannt vor ;)
Ich habe sehr gute Erfahrungen gemacht, auch basierend auf HELO zu filtern/abzulehnen. Zum Einen versuchen viele Spammer sich im HELO mit dem Namen einer meiner Server zu melden, zum anderen gibt es diverse SPAM deren HELO sowas wie das oben genannte dsldevice enthält. Bei mir ist auch 'localhost' geblockt, da hatte ich nur einmal Probleme mit dem Rossman Foto-Service bzw. Fujifilm. Bei mir ist noch speedtouch.lan mit drin. Vor den checks habe ich dann eine broken_hosts drin, die als letzten Eintrag ein DUNNO hat, damit die danach definierten checks laufen.
Ah, und die Viadrina Frankfurt Oder hatte ein sehr seltsames Setup. In der Regel reicht dann aber eine nette Email mit kurzer Erklärung an die jeweiligen Postmaster und sie haben ihren MX auch im DNS, etc.
broken_hostnames: t3hauptserver-c.intern.tu-berlin.de OK g1.euv-frankfurt-o.de OK euv-frankfurt-o.de OK * DUNNO
und dann eingebunden per ...(weitere checks) hash:/etc/postfix/broken_hostnames, reject_unauth_destination, reject_unauth_pipelining, reject_unlisted_recipient, ...(weitere checks)
/Florian
participants (5)
-
Florian Streibelt -
J Stephan -
Martin Schütte -
Mathias Jeschke -
Robert Schetterer