[postfix-users] reject_unverified_recipient
Christopher Stolzenberg
xchris89x at googlemail.com
Mo Jun 28 00:30:33 CEST 2010
Am 27. Juni 2010 23:53 schrieb Robert Schetterer <robert at schetterer.org>:
> ja aber das kann ja gewollt so sein, typischer fall
> du betreibst ein antispamrelay mit postfix ( spamasassin etc )
> dabei ist es sinnvollerweise zwingend notwendig die existierenden
> mail adressen der domains zu kennen ( um zb mit unknown recipient
> antworten zu koennen) , wenn du aber keine statischen
> listen dieser mailadressen pflegen willst/kannst fragst du halt am
> mailserver der die mailboxen haelt nach, per smtp, ob die adressen
> existieren
> ist dies nicht der Fall kann dein antispamrelay den spammer abweisen
> ( noch bevor die mail angenommen wird )
> wenn der eigentliche mailserver dann auch noch nur ueber das
> antispamrelay versendet wird der eigentliche mailserver weitgehenst
> "versteckt" und muss keine filter Last tragen, das Ergebnis solcher
> abfragen kann man cachen, bleibt das grundsaetzliche Problem dass man
> immer schneller Fragen als antworten kann, das heisst es kann das
> Problem entstehen das auch in diesem gewollten scenario
> das antispamgate den eigentlichen mailserver mit nachfragen ueberflutet
> ( weil es eben selbst so haeufig gefragt wird, oder es kommen falsche
> Ergebnise etc ), durch caching wird das gemildert, diese verfahren ist
> aber relativ sicher wenn eine gut und stabile schnelle
> Netzwerkverbindung ( selbes Netz/Rechenzentrum etc ) zwischen relay und
> eigentlichem mailserver existiert, haeufige Methode auch bei backup mx
> servern , oder postfixantisapmrelays fuer exchange etc, man kann das
> Problem aber acuh mit Anfragen ueber ander serives loesen zb ldap
> Anfragen an die active dir etc
>
> was man def nur in absoluten Ausnahmefaellen machen sollte ist ein
> sender verify weil dies taetsaechlich bei spam durch fake fast immer zur
> belaestigung dritter geht was dann haeufig zum blacklisting fuehrt
Hi,
danke. Das leuchtet mir ein.
Also darf ich reject_unverified_recipient nur auf die Domains anwenden
für die mein Postfix zuständig ist?
Meine relay_domains?
Wenn ein Spammer das machen würde:
MAIL FROM: xyz at spammer.com
und
RCPT TO: <test at example.net>
würde mein Postfix Server bei dem Mailserver von example.net
überprüfen ob es die Adresse test at example.net gibt?
Obwohl ich mit der Domain example.net gar nichts zu tun habe?
Ich habe gedacht das reject_unverified_recipient wendet Postfix nur
auf die relay_domains an?
Also muss ich es mit smtpd_recipient_restrictions =
check_recipient_access machen weil ich ja nur die relay_domains die
der Firma gehören überprüfen will.
Chris
Mehr Informationen über die Mailingliste postfix-users