[postfix-users] reject_unverified_recipient

Gregor Hermens gregor.hermens at a-mazing.de
Mo Jun 28 16:04:05 CEST 2010 

Hallo Chris

Am Montag, 28. Juni 2010 schrieb Christopher Stolzenberg:
> Am 28. Juni 2010 12:50 schrieb Gregor Hermens <gregor.hermens at a-mazing.de>:
> > Hallo Chris,
> > 
> > Am Montag, 28. Juni 2010 schrieb Christopher Stolzenberg:
> >> Mal angenommen ich bin für die Domains firma.de und firma.com
> >> zuständig. Ein Spammer versucht z.B. zu testen ob er über meinen
> >> Server relayen kann und macht als Absender xyz at example.com und als
> >> Emfpänger xyz at googlemail.com.
> >> 
> >> Sobald ich reject_unverified_recipient benutze baut Postfix zum
> >> eingehenden Mailserver von googlemail.com eine Verbindung auf, stellt
> >> fest die Mailadresse ist zustellbar und gibt dem potenziellen Spammer
> >> trotzdem mit 7 Sekunden Verzögerung ein relay access denied.
> 
> smtpd_recipient_restrictions =
>         reject_unknown_recipient_domain,
>         reject_unknown_sender_domain,
>         reject_non_fqdn_recipient,
>         reject_non_fqdn_sender,
>         permit_mynetworks,
>         permit_sasl_authenticated,
>         reject_unverified_recipient,
> #      check_recipient_access hash:/etc/postfix/verify_domains,
>         reject_invalid_hostname,
>         reject_non_fqdn_hostname,
>         reject_unknown_reverse_client_hostname,
>         reject_unauth_destination,
>         reject_unauth_pipelining,
>         reject_invalid_helo_hostname,
>         reject_non_fqdn_helo_hostname,
>         reject_rbl_client ix.dnsbl.manitu.net,
>         reject_rbl_client zen.spamhaus.org

Bei dir kommt reject_unverified_recipient vor reject_unauth_destination. 
Dadurch kommt es zu dem oben beschriebenen Verhalten.

Du solltest alles, was nach permit_sasl_authenticated kommt, von billig nach 
teuer sortieren. reject_unverified_recipient ist wohl die teuerste Regel in 
der ganzen Liste. Mein Vorschlag:

smtpd_recipient_restrictions =
        reject_unknown_recipient_domain,
        reject_unknown_sender_domain,
        reject_non_fqdn_recipient,
        reject_non_fqdn_sender,
        permit_mynetworks,
        permit_sasl_authenticated,
        reject_unauth_destination,
        reject_invalid_hostname,
        reject_non_fqdn_hostname,
        reject_unknown_reverse_client_hostname,
        reject_invalid_helo_hostname,
        reject_non_fqdn_helo_hostname,
        reject_unauth_pipelining,
        reject_rbl_client zen.spamhaus.org
        reject_rbl_client ix.dnsbl.manitu.net,
        reject_unverified_recipient,
#      check_recipient_access hash:/etc/postfix/verify_domains,

Gruß,
Gregor
-- 
     @mazing           fon +49 8142 6528665
  Gregor Hermens       fax +49 8142 6528669
Brucker Strasse 12  gregor.hermens at a-mazing.de
D-82216 Gernlinden    http://www.a-mazing.de/

Mehr Informationen über die Mailingliste postfix-users