Postfix header_checks

Das Forum für den Linux-Pinguin - auch andere Unix-Derivate (*BSD, (Open)Solaris, Apple's Darwin / MacOS X, ...) sind hier willkommen!
Forumsregeln
Das Forum für den Linux-Pinguin - auch andere Unix-Derivate (*BSD, (Open)Solaris, Apple's Darwin / MacOS X, ...) sind hier willkommen!

Postfix header_checks

Beitragvon wavenetuser » Di 27 Feb, 2007 14:47

Hi @ all

Linux-Profis sind gefragt :)
Aufgabenstellung:
Bestimmte Emailadressen innerhalb lokaler Domains sollen header_checks bekommen.
Dazu habe ich in main.cf einen Verweis auf eine externe Datei gemacht:
Code: Alles auswählen
header_checks = regexp:/etc/postfix/externe_datei

Inhalt der Datei:
Code: Alles auswählen
/^From:.*@gatewayrealty\.com/ DISCARD
/^From:.*@1webhighway\.com/ DISCARD
/^From:.*@mail\.ru/ DISCARD

Soweit, sogut. Diese Regeln funktionieren alle brav.
Nun will ich aber für einzelne Mailadressen noch spezielle Regeln aufstellen.
Zb. soll Domain A keine Mails aus .it oder .ro erhalten.
Domain B hingegen keine Mails aus .us usw.
Ich dachte, es ist mit if/endif lösbar aber es läuft einfach nicht.
Testcode:
Code: Alles auswählen
# Domain A will keine Mails aus RO und IT
if /^To:.*@domainA\.com/
/^From:.*@.*\.ro/ DISCARD
/^From:.*@.*\.it/ DISCARD
endif;
# Domain B will keine Mails aus US und ORG
if /^To:.*@domainB\.com/
/^From:.*@.*\.us/ DISCARD
/^From:.*@.*\.org/ DISCARD
endif

Theoretisch schaut es auch gut aus - bekomme auch keine Fehler. Aber trotzdem kommen die Testmails an.
Erst wenn ich die if/endif auskommentiere, werden die Mails abgewiesen - dann aber für alle Empfänger - was ich ja nicht will.

//Edit: Semikolon entfernt - der Mensch ist eben ein Gewohnheitstier :)
Zuletzt geändert von wavenetuser am Di 27 Feb, 2007 20:28, insgesamt 1-mal geändert.
Bild
wavenetuser
Board-User Level 3
Board-User Level 3
 
Beiträge: 1266
Registriert: Do 09 Feb, 2006 02:35

Re: Postfix header_checks

Beitragvon Delta » Di 27 Feb, 2007 19:59

wavenetuser hat geschrieben:
Code: Alles auswählen
endif;

Auf die Schnelle faellt mir da nur der Strichpunkt auf; aendert es was wenn du es ohne probierst?
Delta
Board-Mitglied
Board-Mitglied
 
Beiträge: 103
Registriert: Sa 05 Mär, 2005 17:03

Beitragvon wavenetuser » Di 27 Feb, 2007 20:26

ach gott sorry - der ; ist da gar nicht drinn.
Ich hab es quasi vom putty abgeschrieben und automatisch nen ; dazu gemacht...
Bild
wavenetuser
Board-User Level 3
Board-User Level 3
 
Beiträge: 1266
Registriert: Do 09 Feb, 2006 02:35

Beitragvon wavenetuser » Mi 28 Feb, 2007 16:25

Jemand ne Idee ?
sonst schmeiss ich einfach reject_unknown_client und spamhaus+spamcop rein...
Bild
wavenetuser
Board-User Level 3
Board-User Level 3
 
Beiträge: 1266
Registriert: Do 09 Feb, 2006 02:35

Beitragvon penguinforce » Mi 28 Feb, 2007 22:09

von der idee her würden mir eigene klassen einfallen (hab aber jetzt keine maschine und möglichkeit zum testen, obs wirklich funktioniert)...

anleihen findest eventuell hier:
http://www.linux-magazin.de/heft_abo/au ... assen_post
http://mengwong.com/misc/postfix-uce-guide.txt

disclaimer:
ich habs selber nicht getestet, weis daher nicht, obs funktioniert.

:diabolic:
penguinforce
 

Beitragvon wavenetuser » Mi 28 Feb, 2007 23:09

hi und danke.
Hab jetzt erstmal sbl-xbl.spamhaus.org drinn da zen.spamhaus.org sogar inode blockt *kotz*.
spamcop soll viele false-positives blocken und daher uninteressant.

Muss mir erstmal ne Testumgebung aufbauen und mal alles austesten da sbl-xbl aufgelassen werden soll und danach nur mehr zen vorhanden ist.


//Edit: Die Links sind wirklich interessant und laden zum Nachbau ein :)
Werde ich auf jeden Fall ausprobieren :ok:
Bild
wavenetuser
Board-User Level 3
Board-User Level 3
 
Beiträge: 1266
Registriert: Do 09 Feb, 2006 02:35

Beitragvon wavenetuser » Mi 28 Feb, 2007 23:34

Nochmal ein Nachtrag:

Der letzte Link beinhaltet dies:
Code: Alles auswählen
smtpd_recipient_restrictions = check_recipient_access regexp:my_recipient_regexp

    my_recipient_regexp:
   /localuser1/      OK
   /localuser2/      REJECT
   /localuser3/      reject_unknown_sender_domain, reject_non_fqdn_sender
   /localuser4/      reject_unknown_sender_domain, my_restrictions

Mail to localuser4@localdomain gets tested against the
following restriction functions:

   1) check_recipient_access regexp:my_recipient_regexp
   2)    reject_unknown_sender_domain
   3)    my_restrictions:
   4)       reject_non_fqdn_sender
   5)       check_sender_access regexp:other_sender_access
   6)          ... and so on ...


Wenn ich das nun einbaue, kann ich doch für jeden User eine eigene header_checks machen ? Oder sehe ich das falsch ?

Zb. nach Punkt 5 ( check_sender_access regexp:other_sender_access) könnte das Spielchen doch weitergehen mit header_checks = regexp:bla_blubb ...
Bild
wavenetuser
Board-User Level 3
Board-User Level 3
 
Beiträge: 1266
Registriert: Do 09 Feb, 2006 02:35

Beitragvon al » Do 01 Mär, 2007 00:28

wavenetuser hat geschrieben:Hab jetzt erstmal sbl-xbl.spamhaus.org drinn da zen.spamhaus.org sogar inode blockt *kotz*.


Junger Freund, Du hast die PBL nicht verstanden... ;)

Ich lese mal vor, was zB unter PBL115141 steht:

85.124.176.0/21 is listed on the Policy Block List (PBL)

Outbound Email Policy of Inode Telekommunikationsdienstleistungs GmbH / UPC Austria GmbH for this IP range:

It is the policy of Inode Telekommunikationsdienstleistungs GmbH / UPC Austria GmbH that unauthenticated email sent from this IP address should be sent out only via the designated outbound mail server smtp.inode.at


Das ist ein Eintrag von Inode! Und weiter:

Removal Procedure

If you are not using normal email software but instead are running a mail server and you are the owner of a Static IP address in the range 85.124.176.0/21and you have a legitimate reason for operating a mail server on this IP, you can automatically remove (suppress) your static IP address from the PBL database.


Lies Dir die Info & FAQ zur PBL durch, wenn dann noch was unklar ist, kömma weiterreden... :)

/al
Wer entbündelt wo? - http://entbuendelt.at
al
Board-User Level 3
Board-User Level 3
 
Beiträge: 1091
Registriert: Sa 13 Nov, 2004 11:59
Wohnort: Hawei

Beitragvon penguinforce » Do 01 Mär, 2007 01:44

header_check wird glaub ich net funktionieren, weil des IMO kein parameter von smtpd_recipient_restrictions ist.

aber (bei dem von dir genannten beispiel) ist zeile 5 für dich interessant,
denn hier kannst definieren:

Code: Alles auswählen
check_sender_access hash:/etc/postfix/laender

...

mit hash:/etc/postfix/laender:
jp  REJECT No mail from Japan
cn  REJECT No mail from China


quelle: http://listi.jpberlin.de/pipermail/post ... 30360.html

ist zwar nicht der gleiche weg, den du wolltest, aber das selbe ziel.

auch eine möglichkeit, länder-ip's zu blocken, ist über rbl, und zwar mittels http://countries.nerd.dk/

quelle:
http://www-gatago.com/mailing/postfix/u ... 46597.html

es gibt noch andere rbl-listen mit dem gleichen zweck...

:diabolic:
penguinforce
 

Beitragvon wavenetuser » Do 01 Mär, 2007 02:14

al hat geschrieben:Junger Freund, Du hast die PBL nicht verstanden... ;)

Ich lese mal vor, was zB unter PBL115141 steht:

85.124.176.0/21 is listed on the Policy Block List (PBL)

Outbound Email Policy of Inode Telekommunikationsdienstleistungs GmbH / UPC Austria GmbH for this IP range:

It is the policy of Inode Telekommunikationsdienstleistungs GmbH / UPC Austria GmbH that unauthenticated email sent from this IP address should be sent out only via the designated outbound mail server smtp.inode.at


that unauthenticated email sent from this IP address should be sent out only via the designated outbound mail server smtp.inode.at

ok, bei der Übersetzung bin ich jetzt aber über unauthenticated gestoßen.
Was ist unauthenticated ? (ich weiß, nicht authoriziert - aber was soll das bedeuten ?)


Hab mal den Test gemacht, Mails von ner externen Domain kommen an. Obwohl sie eigentlich durch die Absender-IP durch die Blacklist fallen sollten.
Jedoch habe ich nur hotmail (via pop3) als Testmöglichkeit zur Verfügung. Ev schreibt Hotmail die Quell-IP um.
Bild
wavenetuser
Board-User Level 3
Board-User Level 3
 
Beiträge: 1266
Registriert: Do 09 Feb, 2006 02:35

Beitragvon penguinforce » Do 01 Mär, 2007 02:31

es geht wahrscheinlich eher darum, das du die 85.124.176.0/21 blockst... ;)

:diabolic:
penguinforce
 

Beitragvon wavenetuser » Do 01 Mär, 2007 02:42

ach gott - jetzt seh ichs erst ....
Oft sieht man schon den Wald vor lauter Bäume nicht mehr.
85.124.176.0/21 is listed on the Policy Block List (PBL)
Heißt natürlich nicht daß alle Ip's von Inode geblockt werden.
Trotzdem hatte ich mit zen im Beobachtungszeitraum (3 Stunden) mehrere FP's (vor allem aus DE).
How ever. Ich hab hier noch nen Link zu einer Frage die irgendwie dazu passt :)
http://xDSL.at/viewtopic.php?p=279377#279377
Es geht im Grunde darum daß mein Nachbar mit nem Telekom-Business-DSL kein rDNS mehr hat.
Ich wollte mal vorsichtig rückfragen ob die Telekom sich jetzt auch zu Tele2UTA entwickelt (vor einigen Wochen sagten sie mir noch, rDNS sollte eigentlich jeder Provider setzen - ist ja "Standard")
Bild
wavenetuser
Board-User Level 3
Board-User Level 3
 
Beiträge: 1266
Registriert: Do 09 Feb, 2006 02:35

Beitragvon medice » Do 01 Mär, 2007 05:52

wavenetuser hat geschrieben:spamcop soll viele false-positives blocken und daher uninteressant.


spamcop blockt einmal grundsätzlich gar nichts, sondern liefert dir einen Überblick ob eine IP bei ihnen als suspekt gelistet ist oder nicht. Blocks oder wasauchimmer führt die von dir dazu eingerichtete Software durch.
Spamcop selbst empfiehlt AUSDRÃœCKLICH, ihre Liste NICHT zum DIREKTEN BLOCKEN zu verwenden, da sie ihre Liste als sehr restriktiv ansehen, insofern sollte man das dann auch nicht tun ;)

(nicht umsonst landen SMTP von namhaften Providern regelmäßig auf deren Liste und man hat dann dicke Probleme bestimmte "Spezialisten" zu erreichen, bei deren mail-servern spamcop-ergebnisse lustig vor sich hinblocken...)
Mfg
Medice

Wir in Bayern brauchen keine Opposition, weil wir sind schon Demokraten. (c) Gerhard Polt
medice
Advanced Power-User
Advanced Power-User
 
Beiträge: 3288
Registriert: Fr 13 Mai, 2005 10:32
Wohnort: Graz

Beitragvon wavenetuser » Do 01 Mär, 2007 06:37

merci für die aufklärung.
Das ist wie die Aussage:
"Waffen töten keine Menschen - Menschen töten Menschen".
Aber das Ergebnis bleibt: Mensch tot :rofl:

Spamcop in Verbindung mit postfix wird jedoch schon zum "blocken" benutzt :)
Man könnte wohl spamcop auch für spamassassin einsetzen würd ich jetzt einfach mal sagen aber das ist ja wieder ne andere Geschichte.
How ever - spamhaus blockt derzeit etwa 200 Mails in der Stunde :)
Das ist schon eine riesen Erleichterung.

dom:/home/*****# grep -c sbl-xbl\.spamhaus\.org /var/log/mail.log
279
(logfile etwa 1,5 Stunde alt)
Bild
wavenetuser
Board-User Level 3
Board-User Level 3
 
Beiträge: 1266
Registriert: Do 09 Feb, 2006 02:35

Beitragvon al » Do 01 Mär, 2007 07:51

wavenetuser hat geschrieben:ok, bei der Übersetzung bin ich jetzt aber über unauthenticated gestoßen.
Was ist unauthenticated ?


SMTP-AUTH. Auf Deutsch: von dieser Range sollte man über den Inode'schen Smarthost senden.

wavenetuser hat geschrieben:Jedoch habe ich nur hotmail (via pop3) als Testmöglichkeit zur Verfügung. Ev schreibt Hotmail die Quell-IP um.


Du sprechen in Rätseln. POP3 und SMTP sind was anderes. Und was soll IP umschreiben heissen? Es geht um den einliefernden Host bei SMTP. Und gewisse Ranges sollen eben nicht direkt senden, sondern nur übern Smarthost, darum geht's in der PBL.

/al
Wer entbündelt wo? - http://entbuendelt.at
al
Board-User Level 3
Board-User Level 3
 
Beiträge: 1091
Registriert: Sa 13 Nov, 2004 11:59
Wohnort: Hawei

Nächste

Zurück zu LINUX & UNIX-DERIVATE

Wer ist online?

Mitglieder in diesem Forum: DotNetDotCom [Crawler] und 30 Gäste