Date: Tue, 14 Nov 2006 22:26:32 +0100 From: "Uffe R. B. Andersen" <none@urb--twe.net.lh.bsd-dk.dk> To: bsd-dk@bsd-dk.dk Subject: Re: spamcop og postfix
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Jeppe Bundsgaard wrote:
> At 21:59 13-11-2006, you wrote:
>> Drop spamcop?
>
> Ja, det overvejer jeg.
Det er i hvert fald en mulighed. Kig på de forskellige RBL'ers
hjemmeside og se hvordan de vedligeholdes - hvordan servere havner i dem
og hvordan administratorer får dem ud igen. Sortér så dem fra, som du
synes er for restriktive.
> Jeg kørte med greylisting nogle dage. Og det var jo fint, i den grad.
> Men efter noget tid fik den postfix helt i knæ. Jeg forstod aldrig hvad
> det var - blot at det var slemt - og at jeg mistede en del mail fordi
> postfix aldrig blev i stand til at håndtere al den mail der lå tilbage
> efter at den havde været nede med feber (så jeg måtte slette en del
> ubeset - ikke nogen god løsning!). Men jeg kan jo prøve igen. En anden
> grund til at jeg ikke har gjort det, er at jeg vil tro at den også
> udelukker nogle som jeg ikke ønsker udelukket - fx mail sendt med php's
> mail-funktion - og måske endda mail sendt fra php med smtp. Men det kan
> jeg ikke helt gennemskue om postfix kan reagere korrekt på. Hvad er din
> erfaring der?
Jeg bruger postgrey (<http://isg.ee.ethz.ch/tools/postgrey/>) og jeg har
ikke haft performanceproblemer, men jeg håndterer også en relativt lille
mængde mails - mine egne og min hustrus (men tæt på 100 aliaser, fordelt
på 6-8 domæner, til de to konti). Selvfølgelig er der domæner, hvorfra
man ikke ønsker forsinkelse - dem putter man i
postgrey_whitelist_clients.local. Postgrey kommer med en ganske
omfattende postgrey_whitelist_clients-fil, som indeholder domæner der er
er kendt for ikke at genfremsende, eller som har så stor en
mailserver-park, at tripletten næppe er den samme to gange i træk - f.
eks. *.ibm.com (you may wonder why I picked that one ;).
Skulle jeg få problemer, så er jeg så heldig, at jeg administrer to
Postfix-servere - min egen (RH Linux) og min søsters (FreeBSD). De er så
sat som sekundær MX for hinanden og med samme opsætning, så de ikke
udgør en bagdør for spammere (og mindst 50% af den frasorterede spam
kommer faktisk til den sekundære MX, selvom den primære er oppe).
Din bekymring omkring php's mailfunktion forstår jeg godt, men jeg
betragter det som en ringe opsætning, hvis php forsøger at sende direkte
til modtagers mailserver, fremfor gennem sit eget domænes
"autoriserede". Alle de steder jeg har set php's mailfunktion
implementeret (WordPress, Gallery, Coppermine), sendes der via en lokal
smtp - jeg vil tro det er det mest almindelige.
> Var det muligt at få et syn ind i din restriktivt opsatte postfix?
Den er faktisk ikke speciel - den er taget direkte fra nerdgirl.dk, men
jeg har så fjernet alle andre RBL-referencer, end ORDB. Min erfaring er
dog, at en restriktion som "reject_non_fqdn_hostname" godt kan volde
problemer - f. eks. for Windows 2003 Enhanced server, hvor det skal
sættes specifikt under "IIS manager - Default SMTP server - propperties
- - Delivery - Advanged - Fully Qualifyed Domain Name". Hvem ville lige
have kigget der? ;-)
Men det ser sådan her ud:
smtpd_recipient_restrictions =
permit_mynetworks,
permit_sasl_authenticated,
reject_non_fqdn_hostname,
reject_non_fqdn_sender,
reject_non_fqdn_recipient,
reject_unauth_destination,
reject_unauth_pipelining,
reject_invalid_hostname,
reject_rbl_client relays.ordb.org,
check_policy_service inet:127.0.0.1:10023
- - sidste linje er postgrey-implementeringen.
- --
Med venlig hilsen - Sincerely
Uffe R. B. Andersen - mailto:urb@twe.net
http://www.twe.net/
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.2 (MingW32)
iD8DBQFFWjSHxC95nUQcrpgRAo7iAKDXd9tNbhrnXiT9W7CqLiiqq4JAlwCfSutO
0pE1t4PTNiR9UY4nBcW+bcc=
=pUhY
-----END PGP SIGNATURE-----
This archive was generated by hypermail 2b30 : Thu 30 Nov 2006 - 23:00:03 CET