smtpd_proxy_filter und Whitelisting

classic Classic list List threaded Threaded
3 messages Options
Reply | Threaded
Open this post in threaded view
|

smtpd_proxy_filter und Whitelisting

Mathias Jeschke
Hallo,

Ich habe wie im Buch beschrieben Amavis/ClamAV als smtpd_proxy_filter
eingebunden, was soweit auch funktioniert.

Ferner habe ich die smtpd_recipient_restrictions ähnlich wie empfohlen
gesetzt. Ich möchte jetzt einen Absender von automatisch generierten
Mails whitelisten (zuviele Hits wegen HTML-Foo). Leider wird in meinem
Setup die whitelist von Postfix (check_sender_access) ignoriert, obwohl
die Absenderdomain an sich passt (getestet mit WARN Action).

Hier die relevanten Auschnitte aus der Postfix-Config:

----- main.cf -----
smtpd_recipient_restrictions =
         # White-/Blacklisting von bestimmten Adressen
                 check_recipient_access hash:/etc/postfix/recipient_access,
                 check_sender_access hash:/etc/postfix/sender_access,
         # White-/Blacklisting von Sender-IP-Adressen
                 check_client_access cidr:/etc/postfix/client_access.cidr,
         # Keine unsauberen Mails annehmen
                 reject_non_fqdn_sender,
                 reject_non_fqdn_recipient,
                 reject_unknown_sender_domain,
                 reject_unknown_recipient_domain,
         # Lokale Nutzer erlauben
                 permit_mynetworks,
                 permit_sasl_authenticated,
         # Prüfe auf nicht gesetzte PTR-Records
                 reject_unknown_client_hostname,
                 #reject_unknown_reverse_client_hostname,
         # RBL (DNS-Blacklists prüfen)
                 reject_rbl_client zen.spamhaus.org,
                 reject_rbl_client ix.dnsbl.manitu.net,
         # Policyd-Weight
                 check_policy_service inet:127.0.0.1:12525,
         # Greylisting
                 check_policy_service unix:public/postgrey
         # Kein Relaying für externe Hosts (ohne AUTH)
                 reject_unauth_destination,

smtpd_proxy_filter = localhost:10024
content_filter =


----- /etc/postfix/sender_access -----
westermanngruppe.de     OK


----- master.cf -----
smtp      inet  n       -       -       -       -       smtpd

localhost:10025     inet  n       -       -       -       -       smtpd
   -o mynetworks=127.0.0.0/8
   -o smtpd_recipient_restrictions=permit_mynetworks,reject
   -o smtpd_proxy_filter=
   -o content_filter=
   -o smtpd_authorized_xforward_hosts=127.0.0.0/8
   -o receive_override_options=no_unknown_recipient_checks


----- Hier der Log-Output -----
> Aug 28 22:47:29 vm8a postfix/smtpd[24942]: connect from mx-50.edunet.de[81.209.187.50]
> Aug 28 22:47:29 vm8a postfix/smtpd[24942]: NOQUEUE: client=mx-50.edunet.de[81.209.187.50]
> Aug 28 22:47:30 vm8a amavis[16069]: (16069-17) Blocked SPAM {RejectedInbound,Quarantined}, [81.209.187.50]:30661 [217.13.73.12] <[hidden email]> -> <[hidden email]>, quarantine: n/spam-nI10ZDPK3Ybo.gz, Message-ID: <b1132ff18b2afbf7ba324581c6a1d14c@217.13.73.12>, mail_id: nI10ZDPK3Ybo, Hits: 5.307, size: 5137, 906 ms
> Aug 28 22:47:30 vm8a postfix/smtpd[24942]: proxy-reject: END-OF-MESSAGE: 554 5.7.0 Reject, id=16069-17 - spam; from=<[hidden email]> to=<[hidden email]> proto=ESMTP helo=<mx-50.edunet.de>
> Aug 28 22:47:30 vm8a postfix/smtpd[24942]: disconnect from mx-50.edunet.de[81.209.187.50]


Was muss ich tun, um die als Spam markierte Mail doch durchzulassen?


Cheers,
Mathias
Reply | Threaded
Open this post in threaded view
|

Re: smtpd_proxy_filter und Whitelisting

Kai Fürstenberg
Hallo Mathias,

Am 28.08.2018 um 23:08 schrieb Mathias Jeschke:

> Hallo,
>
> Ich habe wie im Buch beschrieben Amavis/ClamAV als smtpd_proxy_filter
> eingebunden, was soweit auch funktioniert.
>
> Ferner habe ich die smtpd_recipient_restrictions ähnlich wie empfohlen
> gesetzt. Ich möchte jetzt einen Absender von automatisch generierten
> Mails whitelisten (zuviele Hits wegen HTML-Foo). Leider wird in meinem
> Setup die whitelist von Postfix (check_sender_access) ignoriert, obwohl
> die Absenderdomain an sich passt (getestet mit WARN Action).
>
> Hier die relevanten Auschnitte aus der Postfix-Config:
>
> ----- main.cf -----
> smtpd_recipient_restrictions =
>          # White-/Blacklisting von bestimmten Adressen
>                  check_recipient_access hash:/etc/postfix/recipient_access,
>                  check_sender_access hash:/etc/postfix/sender_access,
>          # White-/Blacklisting von Sender-IP-Adressen
>                  check_client_access cidr:/etc/postfix/client_access.cidr,
>          # Keine unsauberen Mails annehmen
>                  reject_non_fqdn_sender,
>                  reject_non_fqdn_recipient,
>                  reject_unknown_sender_domain,
>                  reject_unknown_recipient_domain,
>          # Lokale Nutzer erlauben
>                  permit_mynetworks,
>                  permit_sasl_authenticated,
>          # Prüfe auf nicht gesetzte PTR-Records
>                  reject_unknown_client_hostname,
>                  #reject_unknown_reverse_client_hostname,
>          # RBL (DNS-Blacklists prüfen)
>                  reject_rbl_client zen.spamhaus.org,
>                  reject_rbl_client ix.dnsbl.manitu.net,
>          # Policyd-Weight
>                  check_policy_service inet:127.0.0.1:12525,
>          # Greylisting
>                  check_policy_service unix:public/postgrey
>          # Kein Relaying für externe Hosts (ohne AUTH)
>                  reject_unauth_destination,
>
> smtpd_proxy_filter = localhost:10024
> content_filter =
>
>
> ----- /etc/postfix/sender_access -----
> westermanngruppe.de     OK
>
>
> ----- master.cf -----
> smtp      inet  n       -       -       -       -       smtpd
>
> localhost:10025     inet  n       -       -       -       -       smtpd
>    -o mynetworks=127.0.0.0/8
>    -o smtpd_recipient_restrictions=permit_mynetworks,reject
>    -o smtpd_proxy_filter=
>    -o content_filter=
>    -o smtpd_authorized_xforward_hosts=127.0.0.0/8
>    -o receive_override_options=no_unknown_recipient_checks
>
>
> ----- Hier der Log-Output -----
>> Aug 28 22:47:29 vm8a postfix/smtpd[24942]: connect from mx-50.edunet.de[81.209.187.50]
>> Aug 28 22:47:29 vm8a postfix/smtpd[24942]: NOQUEUE: client=mx-50.edunet.de[81.209.187.50]
>> Aug 28 22:47:30 vm8a amavis[16069]: (16069-17) Blocked SPAM {RejectedInbound,Quarantined}, [81.209.187.50]:30661 [217.13.73.12] <[hidden email]> -> <[hidden email]>, quarantine: n/spam-nI10ZDPK3Ybo.gz, Message-ID: <b1132ff18b2afbf7ba324581c6a1d14c@217.13.73.12>, mail_id: nI10ZDPK3Ybo, Hits: 5.307, size: 5137, 906 ms
>> Aug 28 22:47:30 vm8a postfix/smtpd[24942]: proxy-reject: END-OF-MESSAGE: 554 5.7.0 Reject, id=16069-17 - spam; from=<[hidden email]> to=<[hidden email]> proto=ESMTP helo=<mx-50.edunet.de>
>> Aug 28 22:47:30 vm8a postfix/smtpd[24942]: disconnect from mx-50.edunet.de[81.209.187.50]
>
>
> Was muss ich tun, um die als Spam markierte Mail doch durchzulassen?
>
>
> Cheers,
> Mathias
>

das funktioniert so nicht. Du kannst den smtpd_proxy_filter nicht mit
einer recipient_restriction umgehen.

Du könntest aber die Adressen in der amavisd.conf als Spam-Lover
hinterlegen.

Ich kenn micht jetzt nicht so gut damit aus, aber vielleicht kannst du
auch aus den Adressen eine Policy-Bank generieren, die z.B. keine
Betreffzeilenänderung vornimmt, oder gar den Spam-Assassin komplett
rausnimmt.

--
Kai Fürstenberg

PM an: kai at fuerstenberg punkt ws

Reply | Threaded
Open this post in threaded view
|

Re: smtpd_proxy_filter und Whitelisting

Mathias Jeschke
Hallo Kai,

Am 29.08.2018 um 10:19 schrieb Kai Fürstenberg:

> das funktioniert so nicht. Du kannst den smtpd_proxy_filter nicht mit
> einer recipient_restriction umgehen.
>
> Du könntest aber die Adressen in der amavisd.conf als Spam-Lover
> hinterlegen.
>
> Ich kenn micht jetzt nicht so gut damit aus, aber vielleicht kannst du
> auch aus den Adressen eine Policy-Bank generieren, die z.B. keine
> Betreffzeilenänderung vornimmt, oder gar den Spam-Assassin komplett
> rausnimmt.

Danke für den Tipp bzgl. der Policy-Bank - das werde ich mir mal
anschauen. Die amavis.conf finde ich nicht sehr elegent (Trennung von
Config und Code).

Schade, dass sich das Whitelisting nicht per
smtpd_recipient_restrictions, wie es im Buch - insbesondere auch in den
Musterbeispielen - suggeriert wird. Inbesondere dass die Kombination mit
dem ebenfalls empfohlenen smtpd_proxy_filter per amavis nicht
funktioniert, hätte Peer ja mal erwähnen können :-(

Vielen Dank,
Mathias