[linux] Re: Postfix whitelisting?

[Hugo van der Kooij]

On Mon, 16 Oct 2006, Rob Sterenborg wrote:

> > Ik krijg iets niet voor elkaar in Postfix wat ik wel onder
> > sendmail voor elkaar had. Namelijk: Een whitelist voor een
> > ontvanger die voor de andere filteracties komt. Helaas snap
> > ik postfix niet voldoende om de stappen zelf uit te vogelen.
> > 
> > Ik dacht met
> > 	smtpd_delay_reject = yes
> > De boel te kunnen regelen.
> > 
> > Verder filter ik met:
> > 
> > smtpd_client_restrictions =
> >         check_client_access hash:/etc/postfix/blacklist,
> >         check_client_access cidr:/etc/postfix/ipblacklist,
> >         check_policy_service unix:/var/spool/postfix/postgrey/socket
> > 
> > smtpd_helo_restrictions =
> >         reject_invalid_hostname,
> >         reject_non_fqdn_hostname,
> >         reject_unknown_hostname
> > 
> > smtp_sender_restrictions =
> >         check_sender_access hash:/etc/postfix/blacklist,
> >         reject_non_fqdn_sender,
> >         reject_unknown_sender_domain
> > 
> > smtpd_recipient_restrictions =
> >         check_recipient_access hash:/etc/postfix/recipients,
> >         reject_non_fqdn_recipient,
> >         reject_unknown_recipient_domain,
> >         permit_mynetworks,
> >         reject_unauth_destination
> > 
> > In het geval van sendmail is een OK in de recipients list dan
> > voldoende om die als whitelisted te laten gelden en geen last te
> > hebben van de eventuele andere entries. 
> > 
> > Wat mis ik op dit punt nog in postfix?
> 
> Ik weet uit mijn hoofd niet wat precies de volgorde is van de tests die
> worden uitgevoerd. Als het niet werkt dan lijkt het me dat de email al
> wordt geblokkeerd voordat ie bij de whitelist komt.
> Wat staat er in de maillog over die emails?

Bijvoorbeeld:
Oct 15 09:06:33 faramir postfix/smtpd[9390]: NOQUEUE: reject: RCPT from 
70-56-52-83.hlrn.qwest.net[70.56.52.83]: 504 <friend>: Helo command 
rejected: need fully-qualified hostname; from=<gilbert op pellicano.biz> 
to=<haasje op vanderkooij.org> proto=ESMTP helo=<friend>

En dat klinkt als een hit op:

smtpd_helo_restrictions = reject_non_fqdn_hostname

Tot zo ver prima. Maar na voor de zoveelste maal `man 5 postconf` viel me 
op dat ik blijkbaar deze delen moet samenvoegen en alleen 
smtpd_client_restrictions = moet gebruiken en niet de andere headers.

Alle criteria horen onder de client restrictions te staan in de juiste 
volgorde van hun wenselijkheid. 

Postfix is happy met die aanpassing. Nu eens zien hoe de praktijk zich 
houdt. De nieuwe restricties lezen dan als:

smtpd_client_restrictions =
        check_client_access hash:/etc/postfix/whitelist,
        check_recipient_access hash:/etc/postfix/recipients,
        permit_mynetworks,
        check_client_access hash:/etc/postfix/blacklist,
        check_sender_access hash:/etc/postfix/blacklist,
        check_client_access cidr:/etc/postfix/ipblacklist,
        reject_invalid_hostname,
        reject_non_fqdn_hostname,
        reject_unknown_hostname
        reject_non_fqdn_sender,
        reject_unknown_sender_domain
        reject_non_fqdn_recipient,
        reject_unknown_recipient_domain,
        reject_unauth_destination
        check_policy_service unix:/var/spool/postfix/postgrey/socket


Hugo.

-- 
	hvdkooij op vanderkooij.org	http://hvdkooij.xs4all.nl/
	    This message is using 100% recycled electrons.