SMTP restrikce v postfixu

Marian Cerny jojo at matfyz.cz
Tue Feb 3 06:08:15 CET 2009

Previous message: SMTP restrikce v postfixu
Next message: SMTP restrikce v postfixu
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

On 2.2.2009 9:48, Martin Bubik wrote:
> zdravim,
> rad bych se poptal lidi kteri provozuji postovni servery jake 
> pouzivaji restrikce u postfixu.
> Svuj postovni server jsem dal dohromady nedavno a nejsem si moc jisty 
> jestli restrikce,
> ktere pouzivam, nejsou prilis prisne a jestli neprichazim o regulerni 
> emaily, pripadne jestli
> byste seznam jeste o neco doplnili, spamu mi totiz chodi docela dost a 
> rad bych ho odfiltroval
> co nejvic nez se to dostane do spamassasinu.
> procetl jsem na netu spoustu doporuceni tak jsme to tak nejak 
> sesumiroval a poskladal jsem tohle:
>
> smtpd_helo_restrictions =
>        permit_mynetworks
>        permit_sasl_authenticated
>        reject_sender_login_mismatch
>        reject_invalid_hostname
>        reject_non_fqdn_helo_hostname
>        reject_unauth_pipelining
> smtpd_sender_restrictions =
>        permit_mynetworks
>        permit_sasl_authenticated
>        reject_sender_login_mismatch
>        reject_unknown_sender_domain
>        reject_non_fqdn_sender
>        reject_unauth_pipelining
> smtpd_recipient_restrictions =
>        permit_mynetworks
>        permit_sasl_authenticated
>        reject_unauth_pipelining
>        reject_sender_login_mismatch
>        reject_unauth_destination
>        reject_non_fqdn_recipient
>        reject_unknown_recipient_domain

Ak pouzivas smtpd_delay_reject (coz je default), tak mozes dat vsetky 
kontroly do jednej restriction (mozes si vybrat ktorej, vecsinou sa 
pouziva recipient, pretoze je posledna). Ak to ale chces mat logicky 
rozdelene do jednotlivych restriction podla toho kam ktore obmedzenie 
patri, tak to mozes nechat tak ako to mas teraz. Potom ale nedava velmi 
zmysel, preco mas reject_sender_login_mismatch vo vsetkych troch. Inak 
to reject_sender_login_mismatch mozes presunut este pred 
permit_sasl_authenticated - takto nebudu moct ani autentizovany 
uzivatelia posielat mail s podvrhnutym senderom.

Namiesto reject_invalid_hostname sa uz pouziva 
reject_invalid_helo_hostname (iba zmena nazvu premennej).

Podla RFC helo nemusi byt FQDN, takze reject_non_fqdn_helo_hostname by 
tam spravne nemalo byt, ale pouziva to skoro kazdy, takze by s tym nemal 
byt problem. Dokonca aj dokumentacia k postfixu tvrdi, ze helo hostname 
musi byt FQDN, takze by to malo byt ok.

Osobne mam reject_non_fqdn_sender/recipient a 
reject_unknown_sender/recipient_domain este pred permit_mynetworks.

Odporuca sa dat reject_unauth_pipelining aj do smtpd_data_restrictions.

Ja naviac este pouzivam:
reject_unlisted_recipient
reject_unknown_reverse_client_hostname
reject_unknown_client_hostname
To kontroluje spravne nastavene reverzneho DNS zaznamu. To je dost tvrda 
restrikcia, ale podla RFC by kazdy server mal mat nastaveny rDNS zaznam, 
inac mozu ocakavat nedostupnost niektorych internetovych sluzieb. Ak by 
si chcel nieco menej restriktivne, tak potom vyhod ten 
reject_unkown_client_hostname a bude sa kontrolovat iba existencia rDNS 
zaznamu a uz nie to, ci je spravne nastaveny aj dopredny zaznam. Takto 
to pouziva napriklad AOL.

Marian

Previous message: SMTP restrikce v postfixu
Next message: SMTP restrikce v postfixu
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

More information about the Users-l mailing list