SMTP restrikce v postfixu

Martin Bubik martin.bubik at flashlink.cz
Tue Feb 3 14:45:06 CET 2009

Previous message: SMTP restrikce v postfixu
Next message: V uname -a chyba udaj o aplikovani zaplat
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

dekuji za vystizny popis, urcite upravim dle doporuceni.

Martin Bubik


Marian Cerny napsal(a):
> On 2.2.2009 9:48, Martin Bubik wrote:
>> zdravim,
>> rad bych se poptal lidi kteri provozuji postovni servery jake 
>> pouzivaji restrikce u postfixu.
>> Svuj postovni server jsem dal dohromady nedavno a nejsem si moc jisty 
>> jestli restrikce,
>> ktere pouzivam, nejsou prilis prisne a jestli neprichazim o regulerni 
>> emaily, pripadne jestli
>> byste seznam jeste o neco doplnili, spamu mi totiz chodi docela dost 
>> a rad bych ho odfiltroval
>> co nejvic nez se to dostane do spamassasinu.
>> procetl jsem na netu spoustu doporuceni tak jsme to tak nejak 
>> sesumiroval a poskladal jsem tohle:
>>
>> smtpd_helo_restrictions =
>>        permit_mynetworks
>>        permit_sasl_authenticated
>>        reject_sender_login_mismatch
>>        reject_invalid_hostname
>>        reject_non_fqdn_helo_hostname
>>        reject_unauth_pipelining
>> smtpd_sender_restrictions =
>>        permit_mynetworks
>>        permit_sasl_authenticated
>>        reject_sender_login_mismatch
>>        reject_unknown_sender_domain
>>        reject_non_fqdn_sender
>>        reject_unauth_pipelining
>> smtpd_recipient_restrictions =
>>        permit_mynetworks
>>        permit_sasl_authenticated
>>        reject_unauth_pipelining
>>        reject_sender_login_mismatch
>>        reject_unauth_destination
>>        reject_non_fqdn_recipient
>>        reject_unknown_recipient_domain
>
> Ak pouzivas smtpd_delay_reject (coz je default), tak mozes dat vsetky 
> kontroly do jednej restriction (mozes si vybrat ktorej, vecsinou sa 
> pouziva recipient, pretoze je posledna). Ak to ale chces mat logicky 
> rozdelene do jednotlivych restriction podla toho kam ktore obmedzenie 
> patri, tak to mozes nechat tak ako to mas teraz. Potom ale nedava 
> velmi zmysel, preco mas reject_sender_login_mismatch vo vsetkych 
> troch. Inak to reject_sender_login_mismatch mozes presunut este pred 
> permit_sasl_authenticated - takto nebudu moct ani autentizovany 
> uzivatelia posielat mail s podvrhnutym senderom.
>
> Namiesto reject_invalid_hostname sa uz pouziva 
> reject_invalid_helo_hostname (iba zmena nazvu premennej).
>
> Podla RFC helo nemusi byt FQDN, takze reject_non_fqdn_helo_hostname by 
> tam spravne nemalo byt, ale pouziva to skoro kazdy, takze by s tym 
> nemal byt problem. Dokonca aj dokumentacia k postfixu tvrdi, ze helo 
> hostname musi byt FQDN, takze by to malo byt ok.
>
> Osobne mam reject_non_fqdn_sender/recipient a 
> reject_unknown_sender/recipient_domain este pred permit_mynetworks.
>
> Odporuca sa dat reject_unauth_pipelining aj do smtpd_data_restrictions.
>
> Ja naviac este pouzivam:
> reject_unlisted_recipient
> reject_unknown_reverse_client_hostname
> reject_unknown_client_hostname
> To kontroluje spravne nastavene reverzneho DNS zaznamu. To je dost 
> tvrda restrikcia, ale podla RFC by kazdy server mal mat nastaveny rDNS 
> zaznam, inac mozu ocakavat nedostupnost niektorych internetovych 
> sluzieb. Ak by si chcel nieco menej restriktivne, tak potom vyhod ten 
> reject_unkown_client_hostname a bude sa kontrolovat iba existencia 
> rDNS zaznamu a uz nie to, ci je spravne nastaveny aj dopredny zaznam. 
> Takto to pouziva napriklad AOL.
>
> Marian
> -- 
> FreeBSD mailing list (users-l at freebsd.cz)
> http://www.freebsd.cz/listserv/listinfo/users-l

Previous message: SMTP restrikce v postfixu
Next message: V uname -a chyba udaj o aplikovani zaplat
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

More information about the Users-l mailing list