Date: Wed, 13 Sep 2006 17:23:31 +0200 From: Phil Regnauld <none@regnauld--x0.dk.lh.bsd-dk.dk> To: bsd-dk@bsd-dk.dk Subject: Re: Spam relay
On Wed, Sep 13, 2006 at 02:11:31PM +0200, Daniel Nielsen wrote:
>
> På scanne-serveren skal der altså være:
>
> transport map:
>
> domain.dk :min-server.dk
>
> og i main.cf
> permit_mx_backup = ?
Ikke helt.
Der er to metoder til det her:
a) MX til relay server, transport til din server
fordele: sikkert
ulempe: kræver at man vedligeholder transport og DNS
1. i DNS
my-mail-domain MX 10 my-relay-server
2. i main.cf på my-relay-server
relay_domains = hash:/path/to/config_dir/relay
transport_maps = hash:/path/to/config_dir/transport
/path/to/config_dir/relay indeholder
my-mail-domain RELAY
(husk "postmap relay" efter...)
/path/to/config_dir/transport indeholder
my-mail-domain :[min-server.dk]
[ ] er få at undgå MX lookup på navnet.
b) DNS-only med 2 MX og spærret primary
fordele: DNS only løsning
ulempe: folk der vil udnytte din relay server som relay kan gøre det
hvis din relay server dukker på i deres zone som MX for deres domæne.
Risikoen er lille, og det kan faktisk kombineres med noget IP
filtrering for at blive en rigtig smart "auto MX backup scanning"
for en præ-defineret liste over kendte IP kunder, uden at man behøver
at røre ved postfix config.
Note: man kan selvf. kombinere A og B.
1. i DNS
my-mail-domain MX 10 min-server.dk
MX 20 my-relay-server
2. på min-server, spærrer du via postfix config eller pf/ipfw for
inbound tcp/25 fra alle undtagen my-relay-server
3. i main.cf på my-relay-server
smtpd_recipient_restrictions = permit_mx_backup
... andre restrictions ...
=> X sender post til hest@my-mail-domain,
prøver først MX 10 -> spærret
prøver så MX 20 -> OK
MX 20 forsøger at levere til MX 10 -> OK
This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:25:04 CET