Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

Strony: 1

 

#1  2013-07-20 22:10:17

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Postfix i reject-missing-sender-mx?

Cześć

Jako, że do tej pory miałem do czynienia przede wszystkim z Qmailem, a chciałem się bliżej zaprzyjaźnić z Postfixem, chciałem dokończyć bazową konfigurację.
I tu mam dosyć ciekawy problem:

W używanym przez mnie do tej pory Spamdyke do Qmaila, ma takie filtry:

Kod:

reject-empty-rdns=yes
reject-unresolvable-rdns=yes
reject-missing-sender-mx=yes
reject-ip-in-cc-rdns=yes
reject-identical-sender-recipient=yes

Muszę przyznać, że razem ze sprawdzaniem SPF i greylistingiem są diabelnie skuteczne.
Chciałem zapytać, jak nazywają się odpowiednie opcje w Postifixie, najbardziej zależy mi na
reject-missing-sender-mxreject-empty-rdns oraz reject-unresolvable-rdns.
Opis tych opcji:
http://www.spamdyke.org/documentation/README.html

Przekopałem tony dokumentacji Postfixa bez większego rezultatu.
Czy Postfix ma filtry o takim działaniu, czy trzeba kombinować ze Spamassassinem albo jakimiś hackami typu skrypt perla sprawdzający SPF?

W Spamassassinie jest co prawda opcja   NO_DNS_FOR_FROM, której można dać praktycznie dowolną punktację, ale ja nie widzę powodu, żeby walić z armaty do wróbla, uwalając takie oczywiste rzeczy dopiero w Spamasassinie, zamiast kulturalnie podziękować za uwagę w czasie sesji SMTP.

Postfix też ma możliwości zrobić połączenie zwrotne i "zapytać" MX nadawcy, czy tam jest taki użyszkodnik, ale ten pomysł mi się średnio podoba, ponieważ często jest totalnie niekompatybilny z greylistingiem na serwerze nadawcy, a na serwery tysięcy możliwych nadawców mam raczej skromniutki  wpływ... ;)

Wszelkie sugestie mile widziane. ;)


Pozdro
;-)

Ostatnio edytowany przez Jacekalex (2013-07-21 17:01:15)

W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#2  2013-07-21 12:33:31

  jurgensen - Użytkownik

jurgensen
Użytkownik
Skąd: Wrocław
Zarejestrowany: 2010-01-26

Re: Postfix i reject-missing-sender-mx?

Opcję reject-missing-sender-mx spróbuj zastąpić reject_unknown_sender_domain. Natomiast reject-empty-rdns oraz reject-unresolvable-rdns przez reject_unknown_client

Offline

 

#3  2013-07-21 16:48:15

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Postfix i reject-missing-sender-mx?

reject_unknown_sender_domain mam - i dziwnym trafem jedyny filtr, który zwraca uwagę na maila z domeny np ab.com, to postgrey, pomimo, że:

Kod:

host -t mx ab.com
ab.com has no MX record

Co mnie niezmiernie zdziwiło.

Do empty rdns znalazłem takie dwie opcje, zobaczymy, czy coś poradzą:

Kod:

smtpd_recipient_restrictions = ......
                                reject_unknown_client_hostname,
                                reject_unknown_reverse_client_hostname,
..........

Missing MX?
Najwyżej przerobię perlowy skrypt do SPF (albo na jego bazie dorzeźbię dodatkowy filtr),  szkielet funkcji już mam:

Kod:

  use Net::DNS;
  my $name = "ab.com";
  my $res  = Net::DNS::Resolver->new;
  my @mx   = mx($res, $name);

  if (@mx) {
      foreach $rr (@mx) {
          print $rr->preference, " ", $rr->exchange, "\n";
      }
  } else {
      warn  "action=550  Missing sender MX records for $name\n";
  }

Całe recipient restrictions:

Kod:

smtpd_recipient_restrictions =  permit_sasl_authenticated,
                                reject_unauth_destination,
                                check_sender_access hash:/etc/postfix/sender_checks_my,
                                reject_unlisted_recipient,
                                check_helo_mx_access cidr:/etc/postfix/mx_access.cidr,
                                check_sender_mx_access cidr:/etc/postfix/mx_access.cidr,
                    reject_non_fqdn_recipient,
                    reject_unknown_client_hostname,
                    reject_unknown_reverse_client_hostname,
                    reject_unknown_sender_domain,
                                reject_unknown_recipient_domain,
                                reject_invalid_helo_hostname,
                reject_unauth_pipelining,
                                check_policy_service unix:private/spfperl,
                                check_policy_service unix:filtry/postgrey.sock, 
                                check_client_access regexp:/etc/postfix/check_client_fqdn,
                                permit,

EDYTA:

reject_unknown_sender_domain
    Reject the request when the sender mail address has no DNS A or MX record. The unknown_address_reject_code parameter specifies the response code for rejected requests (default: 450). The response is always 450 in case of a temporary DNS error.

Chyba się wyjaśniło, ta funkcja bierze pod uwagę rekord a oraz  mx, a spamdykowy reject-missing-sender-mx tylko rekordy mx.
Osobiście uważam, że Spamdyke pod tym względem zauważalnie skuteczniej  się zachowuje.

Pozdro
;-)

Ostatnio edytowany przez Jacekalex (2013-07-21 16:59:26)

W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

 

Strony: 1

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
To nie jest tylko forum, to nasza mała ojczyzna ;-)