[postfix-users] Check und Meinungen zur postfix konfiguration

Do Sep 22 22:15:56 CEST 2011

On Don 22.09.2011 09:17, Ralf Hildebrandt wrote:
>> append_dot_mydomain = no
>Warum nicht?

Keine Ahnung war schon drinnen mit folgenden kommentar.

# appending .domain is the MUA's job.

>> home_mailbox =
>>inet_interfaces = all
>Das sieht recht falsch aus

Sollte so sein.

Soweit ich gesehen habe ist das default, hab es rausgenommen.

>> relayhost =
>> smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
>
>Das sieht recht falsch aus

sollten 2 Zeilen sein, da dürte beim Mail was umgebaut worden sein.

Schaut im archiv anders aus.

http://de.postfix.org/pipermail/postfix-users/2011-September/002883.html

>> smtpd_client_restrictions = check_client_access \
>>                             hash:/etc/postfix/client_restrictions
>
>OK. Abver wozu? Du hast das doch schon in smtpd_recipient_restrictions

Mir kommt vor dass es früher greift, hab es aber rausgenommen.

>> smtpd_data_restrictions = reject_unauth_pipelining, permit
>Das permit kann weg, sieht aber evtl. schöner aus

Verstehe nicht was du meinst, sorry.

>> smtpd_tls_received_header = no
>Würde ich schon anmachen

Danke. done.

>> Ich würde gerne die nicht benutzen delivery methoden
>>
>> ifmail, bsmtp, scalemail-backend, mailman, uucp, maildrop
>>
>> auskommentiern, sollte ja keine negativen Auswirkungen habe, oder?
>
>Kannst du abstellen.

Danke.

Habe nun auch postscreen hinzugefügt.

Hier nun die neue Konfiguration mit ein paar inputs von

http://www.postfix.org/TLS_README.html

### postconf -n
alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
biff = no
broken_sasl_auth_clients = no
config_directory = /etc/postfix
content_filter = amavisfeed:[127.0.0.1]:10024
disable_vrfy_command = yes
inet_interfaces = all
mailbox_size_limit = 0
mydestination = $myhostname, lvps46-163-74-15.dedicated.hosteurope.de,
localhost.dedicated.hosteurope.de, localhost

myhostname = external.none.at
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
myorigin = /etc/mailname

postscreen_access_list =
permit_mynetworks,cidr:/etc/postfix/postscreen_access.cidr

postscreen_bare_newline_action = enforce
postscreen_bare_newline_enable = yes
postscreen_blacklist_action = enforce
postscreen_dnsbl_action = enforce

postscreen_dnsbl_sites = zen.spamhaus.org*2 bl.spamcop.net*1
b.barracudacentral.org*1

postscreen_dnsbl_threshold = 2
postscreen_greet_action = enforce
postscreen_non_smtp_command_enable = yes
postscreen_pipelining_enable = yes
readme_directory = no
recipient_delimiter = -
smtp_tls_loglevel = 2
smtp_tls_note_starttls_offer = yes
smtp_tls_security_level = may
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtp_use_tls = yes
smtpd_data_restrictions = reject_unauth_pipelining, permit
smtpd_helo_required = yes

smtpd_recipient_restrictions = ... wie gehabt ...

smtpd_sasl_auth_enable = no
smtpd_sasl_authenticated_header = no
smtpd_sasl_path = private/auth
smtpd_sasl_security_options = noanonymous
smtpd_sasl_type = dovecot
smtpd_tls_auth_only = yes
smtpd_tls_cert_file = /etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_exclude_ciphers = aNULL
smtpd_tls_key_file = /etc/ssl/private/ssl-cert-snakeoil.key
smtpd_tls_loglevel = 2
smtpd_tls_mandatory_ciphers = medium
smtpd_tls_mandatory_exclude_ciphers = aNULL
smtpd_tls_mandatory_protocols = SSLv3, TLSv1
smtpd_tls_protocols = !SSLv2
smtpd_tls_received_header = yes
smtpd_tls_security_level = may
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtpd_use_tls = yes
tls_export_cipherlist = ALL:+RC4:!kEDH:@STRENGTH
tls_high_cipherlist = ALL:!EXPORT:!LOW:!MEDIUM:+RC4:!kEDH:@STRENGTH
tls_low_cipherlist = ALL:!EXPORT:+RC4:!kEDH:@STRENGTH
tls_medium_cipherlist = ALL:!EXPORT:!LOW:+RC4:!kEDH:@STRENGTH
tls_random_source = dev:/dev/urandom
virtual_alias_maps = mysql:/etc/postfix/mysql-virtual-alias-maps.cf
virtual_gid_maps = static:5000
virtual_mailbox_base = /var/vmail/

virtual_mailbox_domains =

mysql:/etc/postfix/mysql-virtual-mailbox-domains.cf
virtual_mailbox_maps = mysql:/etc/postfix/mysql-virtual-mailbox-maps.cf
virtual_transport = dovecot
virtual_uid_maps = static:5000
###

Soweit ich die doku richtig verstanden habe dann wird ja IMMER eine DNS
Abfrage gemacht.

http://www.postfix.org/POSTSCREEN_README.html
...
DNS White/blacklist test
...

Das bedeutet für mich dass der postscreen keine Möglichkeit bietet das
DNS zu schonen. Habe ich das so richtig verstanden?

Habe den neuen server vor ~1 h im DNS mit prio 400 eingetragen und er
wird schon mit spam bombadiert. Ich muss sagen ich bin überrascht wie
schnell die spammengines DNS-�nderungen checken.

Aleks