postscreen's MX Policy test

6 Nov 2014


      HI Joda, HI folks!
Ich bin gard am Lesen von Wietse's Doku [1] zu postscreen.
Das mit dem postscreen_whitelist_interfaces ist mir noch nicht 100%ig klar.
Grundlegend kenne ich ja die Thematik, dass SPAMer bevorzugt den
backup-MX ansprechen, in der Hoffnung, dieser sei weniger gut gepflegt,
als der eigentliche MXer.
Bei dem Parameter postscreen_whitelist_interfaces definiere ich doch
alle Interfaces, auf denen grundsätzlich ein temporärer
whitelisting-Eintrag gesetzt werden könnte.
Per default wäre das ja:
postscreen_whitelist_interfaces = static:all
Daher wird ja für alle IP's des Servers auf denen ein SMTP-Daemon (Port
25) lauscht, grundsätzlich ein temporäres whitlisting möglich sein.
Setze ich nun
postscreen_whitelist_interfaces = !88.217.171.167
                                  static:all
Heisst es dann, whitelisting weiterhin auf allen Interfaces
(IP-Adressen) aber *NICHT* auf der 88.217.171.167.
Das hätte dann zur Folge, dass ein Client nur dann in's temporäre
whitlisting kommen würde, wenn dieser auf der IP des Haupt-MXers
aufschlägt. Tritt der Client nur an den Backup-MX, dann muss er
zwangsläufig den kompletten postscreen-Bewertungslauf durchlaufen.
Hab' ich das soweit richtig verstanden?
Wenn ja, da macht das ja erst einmal nur dann Sinn, wenn ein postscreen
Daemon auch beide IP-Adressen unter seiner Fuchtel hat, sprich die IP
des Haupt-MX und des Backup-MX terminieren beide auf dem gleichen
Postfix-Servers. So zumindestens interprätiere ich das Beispiel unter [1].
Habe ich mehrere MXer, dann kann ich das "nur" nutzen, wenn ich die
temporäre whitelist-table "share", wie unter [2] angeschnitten.
Richtig?
Ich müsste mir überlegen, welcher der MXer den MEMCACHE-Server ist.
Richtig?
Dann nehmen wir mal die 217.91.103.190 als Haupt MX und die
88.217.171.167 für den Backup-MX her.
Auf dem Server mit der IP 217.91.103.190 setze ich dann in der
/etc/postfix/main.cf folgends:
postscreen_cache_map = memcache:/etc/postfix/postscreen_cache
  proxy_write_maps = proxy:btree:/var/lib/postfix/postscreen_cache
Dann lege ich die Datei /etc/postfix/postscreen_cache mit folgendem
Inhalt an:
  memcache = inet:217.91.103.190:11211
  backup = proxy:btree:/var/lib/postfix/postscreen_cache
  key_format = postscreen:%s
Richtig?
So und was genau, muss ich jetzt auf dem/den Backup-MX'n mit der
88.217.171.167 machen?
Wiederum in der /etc/postfix/main.cf folgends:
postscreen_cache_map = memcache:/etc/postfix/postscreen_cache
  proxy_write_maps = proxy:btree:/var/lib/postfix/postscreen_cache
und dann in der /etc/postfix/postscreen_cache:
  memcache = inet:217.91.103.190:11211
  backup = proxy:btree:/var/lib/postfix/postscreen_cache
  key_format = postscreen:%s
So? Oder wie läuft das? Und tauschen dann beide MX die Informationen der
temporären whitelist gegenseitig aus? Hmmm, ich bin mir da etwas
unschlüssig, wei das nun genau laufen soll, wenn ich 2 oder mehr
getrennte MXer hab. Infos sharen, oder jeden Server autark laufen lassen?
Klärt mich doch mal auf! Bütte ...
Servus
Django
[1] http://www.postfix.org/POSTSCREEN_README.html#white_veto
[2] http://www.postfix.org/POSTSCREEN_README.html#temp_white_sharing

Django

tags (0)

participants (1)