Postscreen-Konfiguration

Previous Topic Next Topic
 
classic Classic list List threaded Threaded
5 messages Options
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Postscreen-Konfiguration

Martin Steigerwald
Hallo.

Integration in master.cf ist für mich klar. Das Teil funktioniert auch
bereits.

Habt ihr noch irgendwelche sinnvollen Ideen, das Teil noch strikter vorgehen
zu lassen, ohne dass es gravierende Auswirkungen hat? Was habt ihr für
Blacklisten. Ich hab mir dazu einige von http://www.dnsbl.info/dnsbl-list.php 
zusammengesucht, aber letztlich ist es immer so eine Frage, woran ich
entscheide, inwiefern ich einer Liste vertraue.


Hier mal meine Konfiguration in main.cf:

# Postscreen
postscreen_access_list = permit_mynetworks,
        cidr:/etc/postfix/postscreen_access.cidr
postscreen_blacklist_action = drop
postscreen_dnsbl_threshold = 4
# http://www.dnsbl.info/dnsbl-list.php
postscreen_dnsbl_sites = zen.spamhaus.org*2
        bl.spamcop.net  
        dnsbl.sorbs.net  
        psbl.surriel.com
        drone.abuse.ch  
        spam.abuse.ch
        dnsbl.anticaptcha.net
postscreen_dnsbl_action = enforce
postscreen_greet_action = enforce
#postscreen_bare_newline_action = enforce
#postscreen_bare_newline_enable = yes
postscreen_non_smtp_command_enable = yes
postscreen_non_smtp_command_action = drop
#postscreen_pipelining_enable = yes
#postscreen_pipelining_enable = enforce
postscreen_cache_map = lmdb:$data_directory/postscreen_cache


Teilweise in Anlehnung an:

Aus Linux-Magazin 08/2011
Christoph Wickert
Tests und Aktionen für eingehende E-Mails
http://www.linux-magazin.de/Ausgaben/2011/08/Spamabwehr/(offset)/6


Deswegen hab ich bare_newline und pipelining_enable nicht aktiviert. Kann ich
aber auch wieder an machen.

Ich werd mir die Detail-Erklärungen im Postscreen-Howto auch nochmal genauer
durchlesen, aber vielleicht habt ihr noch irgendwelche Tipps.

Ciao,
--
Martin
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Postscreen-Konfiguration

Alex JOST
Am 25.07.2017 um 15:24 schrieb Martin Steigerwald:

> Hallo.
>
> Integration in master.cf ist für mich klar. Das Teil funktioniert auch
> bereits.
>
> Habt ihr noch irgendwelche sinnvollen Ideen, das Teil noch strikter vorgehen
> zu lassen, ohne dass es gravierende Auswirkungen hat? Was habt ihr für
> Blacklisten. Ich hab mir dazu einige von http://www.dnsbl.info/dnsbl-list.php
> zusammengesucht, aber letztlich ist es immer so eine Frage, woran ich
> entscheide, inwiefern ich einer Liste vertraue.
>
>
> Hier mal meine Konfiguration in main.cf:
>
> # Postscreen
> postscreen_access_list = permit_mynetworks,
>          cidr:/etc/postfix/postscreen_access.cidr
> postscreen_blacklist_action = drop
> postscreen_dnsbl_threshold = 4
> # http://www.dnsbl.info/dnsbl-list.php
> postscreen_dnsbl_sites = zen.spamhaus.org*2
>          bl.spamcop.net
>          dnsbl.sorbs.net
>          psbl.surriel.com
>          drone.abuse.ch
>          spam.abuse.ch
>          dnsbl.anticaptcha.net
> postscreen_dnsbl_action = enforce
> postscreen_greet_action = enforce
> #postscreen_bare_newline_action = enforce
> #postscreen_bare_newline_enable = yes
> postscreen_non_smtp_command_enable = yes
> postscreen_non_smtp_command_action = drop
> #postscreen_pipelining_enable = yes
> #postscreen_pipelining_enable = enforce
> postscreen_cache_map = lmdb:$data_directory/postscreen_cache
>
>
> Teilweise in Anlehnung an:
>
> Aus Linux-Magazin 08/2011
> Christoph Wickert
> Tests und Aktionen für eingehende E-Mails
> http://www.linux-magazin.de/Ausgaben/2011/08/Spamabwehr/(offset)/6
>
>
> Deswegen hab ich bare_newline und pipelining_enable nicht aktiviert. Kann ich
> aber auch wieder an machen.
>
> Ich werd mir die Detail-Erklärungen im Postscreen-Howto auch nochmal genauer
> durchlesen, aber vielleicht habt ihr noch irgendwelche Tipps.

Soweit ich das sagen kann hat zen.spamhaus.org bei uns bis jetzt keine
falschen Treffer enthalten. Entsprechend könntest Du den Wert auf 3 oder
sogar 4 hoch drehen.

In jedem Fall solltest Du Dir überlegen eine Whitelist wie dnswl.org zu
benutzen. Das reduziert die Wahrscheinlichkeit von falschen Treffern
deutlich.

--
Alex JOST
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Postscreen-Konfiguration

Martin Steigerwald
In reply to this post by Martin Steigerwald
Martin Steigerwald - 25.07.17, 15:24:
> #postscreen_bare_newline_action = enforce
> #postscreen_bare_newline_enable = yes
> postscreen_non_smtp_command_enable = yes
> postscreen_non_smtp_command_action = drop
> #postscreen_pipelining_enable = yes
> #postscreen_pipelining_enable = enforce

Naja, der der non_smtp_command schon lange dauert, kann ich die anderen beiden
ja auch noch einschalten. Das dürfte dann auch nix mehr ausmachen.

non_smtp_command_enable hat mindestens einmal bereits getriggert, das habe ich
im Log gesehen.

--
Martin
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Postscreen-Konfiguration

Jens Adam-2
In reply to this post by Martin Steigerwald

> Habt ihr noch irgendwelche sinnvollen Ideen, das Teil noch strikter vorgehen
> zu lassen, ohne dass es gravierende Auswirkungen hat? Was habt ihr für
> Blacklisten.

https://listi.jpberlin.de/pipermail/postfixbuch-users/2017-May/065150.html
... immer noch nicht wieder reevaluiert. :/

Ansonsten halt rein IP-basiert, keine "after greeting" Tests.

--byte



signature.asc (465 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Postscreen-Konfiguration

Waschl
This post was updated on .
In reply to this post by Martin Steigerwald
Hallo,

mit der Konfiguration fahre ich eigentlich recht gut:

postscreen_greet_action = enforce
postscreen_greet_banner = $myhostname - Please wait to be seated
postscreen_greet_ttl = 1d
postscreen_greet_wait = ${stress?2}${stress:4}s

postscreen_pipelining_enable = no
postscreen_non_smtp_command_enable = no
postscreen_bare_newline_enable = no

postscreen_dnsbl_action = enforce
postscreen_blacklist_action = enforce

postscreen_dnsbl_whitelist_threshold = -2
postscreen_dnsbl_threshold = 3
postscreen_dnsbl_sites =
        zen.spamhaus.org*3
        hostkarma.junkemailfilter.com=127.0.0.2*2
        rep.mailspike.net=127.0.0.[10;11]*2
        b.barracudacentral.org*2   <-- hier muss man sich anmelden
        rep.mailspike.net=127.0.0.[12;13]
        dnsbl.sorbs.net=127.0.0.[6;10]
        db.wpbl.info=127.0.0.2
        bl.spamcop.net
        ix.dnsbl.manitu.net
        psbl.surriel.com
        dnsbl.inps.de
        ubl.unsubscore.com
        hostkarma.junkemailfilter.com=127.0.0.1*-2
        list.dnswl.org=127.0.[0..255].2*-1
        list.dnswl.org=127.0.[0..255].3*-2
        rep.mailspike.net=127.0.0.[18;19]*-1
        rep.mailspike.net=127.0.0.20*-2
Loading...