Discussion:
postfix whitelist przed rbl
(Wiadomość utworzona zbyt dawno temu. Odpowiedź niemożliwa.)
Marcin Debowski
2020-03-10 11:11:51 UTC
Permalink
Próbuję wpuszczać pocztę z paru ogólnych adresów zanim rbl się rozprawi
po ip. Mam w main.cf tak:

smtpd_recipient_restrictions =
check_client_access hash:/etc/postfix/access_sender
permit_sasl_authenticated,
permit_mynetworks,
reject_unauth_destination,
reject_rbl_client zen.spamhaus.org,
reject_rbl_client bl.spamcop.net,
reject_rbl_client dnsbl.sorbs.net,
reject_rbl_client spam.dnsbl.sorbs.net

A w /etc/postfix/access_sender
gmail.com OK
mail.com OK
wp.pl OK

Zrobiłem też
postmap /etc/postfix/access_sender

No i nadal odrzuca gmaila (na nim narazie sprawdzam). Co źle robie?

Poboczny temat, nie widzę zwrotek reject pod gmailem. Gmail tego nie
komunikuje?
--
Marcin
Lemat
2020-03-10 11:41:53 UTC
Permalink
Post by Marcin Debowski
Próbuję wpuszczać pocztę z paru ogólnych adresów zanim rbl się rozprawi
smtpd_recipient_restrictions =
check_client_access hash:/etc/postfix/access_sender
permit_sasl_authenticated,
permit_mynetworks,
reject_unauth_destination,
reject_rbl_client zen.spamhaus.org,
reject_rbl_client bl.spamcop.net,
reject_rbl_client dnsbl.sorbs.net,
reject_rbl_client spam.dnsbl.sorbs.net
A w /etc/postfix/access_sender
gmail.com OK
mail.com OK
wp.pl OK
Zrobiłem też
postmap /etc/postfix/access_sender
No i nadal odrzuca gmaila (na nim narazie sprawdzam). Co źle robie?
Poboczny temat, nie widzę zwrotek reject pod gmailem. Gmail tego nie
komunikuje?
check_client_access to nie są domeny nadawców tylko reverse DNSy, poczta
z gmail.com pochodzi z takich revDNSów:

Mar 10 12:40:08 detrytus postfix/smtpd[9493]: connect from
mail-wr1-f43.google.com[209.85.221.43]
--
Pozdrawiam
Lemat
KIKI
2020-03-10 18:24:50 UTC
Permalink
Post by Marcin Debowski
Próbuję wpuszczać pocztę z paru ogólnych adresów zanim rbl się rozprawi
Może ja ci odpowiem, bo te złośliwce będą drażnić tylko :-)

Robisz tak:


smtpd_client_restrictions =
permit_mynetworks,
...
check_client_access hash:/etc/postfix/rbl_override, <-----------

Ja sobie to nazywam rbl_override i ma być w cliencie

Gmaila blokuje SORBS ale SORBS jest bardzo skuteczny więc trzeba uważać
Marcin Debowski
2020-03-11 02:13:58 UTC
Permalink
Post by KIKI
Post by Marcin Debowski
Próbuję wpuszczać pocztę z paru ogólnych adresów zanim rbl się rozprawi
Może ja ci odpowiem, bo te złośliwce będą drażnić tylko :-)
smtpd_client_restrictions =
permit_mynetworks,
...
check_client_access hash:/etc/postfix/rbl_override, <-----------
Ja sobie to nazywam rbl_override i ma być w cliencie
Gmaila blokuje SORBS ale SORBS jest bardzo skuteczny więc trzeba uważać
Dzięki :) Na razie zostałem przy smtpd_recipient_restrictions i po
prostu dałem google.com i gmx.com zamiast odpowiednio gmail.com i
mail.com, ale zrobię z smtpd_client_restrictions bo powinno być bardziej
przewidywalne.
--
Marcin
Marcin Debowski
2021-09-03 02:43:35 UTC
Permalink
Post by KIKI
Post by Marcin Debowski
Próbuję wpuszczać pocztę z paru ogólnych adresów zanim rbl się rozprawi
Może ja ci odpowiem, bo te złośliwce będą drażnić tylko :-)
smtpd_client_restrictions =
permit_mynetworks,
...
check_client_access hash:/etc/postfix/rbl_override, <-----------
Ja sobie to nazywam rbl_override i ma być w cliencie
No więc w końcu też to dałem ale wyłapuje mi za dużo.

smtpd_recipient_restrictions =
check_client_access hash:/etc/postfix/access_sender
permit_sasl_authenticated,
permit_mynetworks,
reject_unauth_destination,
check_client_access hash:/etc/postfix/rbl_override,
reject_rbl_client zen.spamhaus.org,
reject_rbl_client bl.spamcop.net,
reject_rbl_client dnsbl.sorbs.net,
reject_rbl_client spam.dnsbl.sorbs.net

Nie mogę ani wyszukać ani rokminić formatu tego pliku rbl_override

Mam tak:
/etc/postfix/rbl_override
@interia.pl OK
interia.pl OK
@orange.pl OK
orange.pl OK
poczta.interia.pl OK
smtpo.poczta.interia.pl OK
wp.pl OK
@wp.pl OK

Nadal odrzuca mi niektóre mejle z interii mimo, że nadchodzą z
smtpo.poczta.interia.pl. Widzę po logach, że sprawdzanie idzie po IP a
smtpo.poczta.interia.pl miewa IP różne. Jak to zrobić, żeby szło po
nazwie?
--
Marcin
Lemat
2021-09-03 06:44:55 UTC
Permalink
Post by Marcin Debowski
Post by KIKI
Post by Marcin Debowski
Próbuję wpuszczać pocztę z paru ogólnych adresów zanim rbl się rozprawi
Może ja ci odpowiem, bo te złośliwce będą drażnić tylko :-)
smtpd_client_restrictions =
permit_mynetworks,
...
check_client_access hash:/etc/postfix/rbl_override, <-----------
Ja sobie to nazywam rbl_override i ma być w cliencie
No więc w końcu też to dałem ale wyłapuje mi za dużo.
smtpd_recipient_restrictions =
check_client_access hash:/etc/postfix/access_sender
permit_sasl_authenticated,
permit_mynetworks,
reject_unauth_destination,
check_client_access hash:/etc/postfix/rbl_override,
reject_rbl_client zen.spamhaus.org,
reject_rbl_client bl.spamcop.net,
reject_rbl_client dnsbl.sorbs.net,
reject_rbl_client spam.dnsbl.sorbs.net
Nie mogę ani wyszukać ani rokminić formatu tego pliku rbl_override
/etc/postfix/rbl_override
@interia.pl OK
interia.pl OK
@orange.pl OK
orange.pl OK
poczta.interia.pl OK
smtpo.poczta.interia.pl OK
wp.pl OK
@wp.pl OK
Nadal odrzuca mi niektóre mejle z interii mimo, że nadchodzą z
smtpo.poczta.interia.pl. Widzę po logach, że sprawdzanie idzie po IP a
smtpo.poczta.interia.pl miewa IP różne. Jak to zrobić, żeby szło po
nazwie?
check_CLIENT_access wyszukuje w pliku CLIENTA czyli albo adres IP albo
revDNS,


check_SENDER_access wyszukuje w pliku SENDERA - czyli adres email.

zastanów się, co bardziej pasuje do twojego pliku.
--
Pozdrawiam
Lemat
Marcin Debowski
2021-09-03 08:34:18 UTC
Permalink
Post by Lemat
Post by Marcin Debowski
Post by KIKI
Post by Marcin Debowski
Próbuję wpuszczać pocztę z paru ogólnych adresów zanim rbl się rozprawi
Może ja ci odpowiem, bo te złośliwce będą drażnić tylko :-)
smtpd_client_restrictions =
permit_mynetworks,
...
check_client_access hash:/etc/postfix/rbl_override, <-----------
Ja sobie to nazywam rbl_override i ma być w cliencie
No więc w końcu też to dałem ale wyłapuje mi za dużo.
smtpd_recipient_restrictions =
check_client_access hash:/etc/postfix/access_sender
permit_sasl_authenticated,
permit_mynetworks,
reject_unauth_destination,
check_client_access hash:/etc/postfix/rbl_override,
reject_rbl_client zen.spamhaus.org,
reject_rbl_client bl.spamcop.net,
reject_rbl_client dnsbl.sorbs.net,
reject_rbl_client spam.dnsbl.sorbs.net
Nie mogę ani wyszukać ani rokminić formatu tego pliku rbl_override
/etc/postfix/rbl_override
@interia.pl OK
interia.pl OK
@orange.pl OK
orange.pl OK
poczta.interia.pl OK
smtpo.poczta.interia.pl OK
wp.pl OK
@wp.pl OK
Nadal odrzuca mi niektóre mejle z interii mimo, że nadchodzą z
smtpo.poczta.interia.pl. Widzę po logach, że sprawdzanie idzie po IP a
smtpo.poczta.interia.pl miewa IP różne. Jak to zrobić, żeby szło po
nazwie?
check_CLIENT_access wyszukuje w pliku CLIENTA czyli albo adres IP albo
revDNS,
check_SENDER_access wyszukuje w pliku SENDERA - czyli adres email.
zastanów się, co bardziej pasuje do twojego pliku.
Dzięki za podpowiedź.
Widzę też, że mam bezsensowną podwójną deklarację. Zaraz pozmieniam.
--
Marcin
Marcin Debowski
2021-09-07 07:44:04 UTC
Permalink
Dla polskiego rbl'a, da się gdzieś zmienić ten komunikat:
Before you send SPAM,read first:District Court Warsaw
sig.IC3136/17:justification of the judgment:Even a single SPAM
message causes violation of personal rights!
--
Marcin
Lemat
2021-09-07 10:32:20 UTC
Permalink
Post by Marcin Debowski
Before you send SPAM,read first:District Court Warsaw
sig.IC3136/17:justification of the judgment:Even a single SPAM
message causes violation of personal rights!
default_rbl_reply
--
Pozdrawiam
Lemat
Marcin Debowski
2021-09-17 07:00:52 UTC
Permalink
Post by Lemat
Post by Marcin Debowski
Before you send SPAM,read first:District Court Warsaw
sig.IC3136/17:justification of the judgment:Even a single SPAM
message causes violation of personal rights!
default_rbl_reply
Dzięki. Właśnie znalazłem chwilkę czasu aby to rozpracować. Wszystko
ładnie działa.
--
Marcin
KIKI
2021-09-07 10:47:58 UTC
Permalink
Post by Marcin Debowski
Before you send SPAM,read first:District Court Warsaw
sig.IC3136/17:justification of the judgment:Even a single SPAM
message causes violation of personal rights!
I jak bije spamerów?
Marcin Debowski
2021-09-17 07:05:25 UTC
Permalink
Post by KIKI
Post by Marcin Debowski
Before you send SPAM,read first:District Court Warsaw
sig.IC3136/17:justification of the judgment:Even a single SPAM
message causes violation of personal rights!
I jak bije spamerów?
Jo :) I to trochę za mocno. To stoi na serwerze dla firmy więc niestety
czasami nie ma wyboru i z pewnych adresów trzeba pocztę łykać. Ostatnie
2 tyg. białolistuję na potęgę, bo przestały dochodzić faktury i mejle od
starych klientów.

Zmieniłem komunikat na nieco bardziej stonowany, bo w wielu przypadkach
odbija bogu ducha winnym ludziom, tylko dlatego, że mają nieszczęście
korzystać z tego samego serwera co spamerzy.
--
Marcin
KIKI
2021-09-17 08:44:40 UTC
Permalink
Post by Marcin Debowski
Post by KIKI
I jak bije spamerów?
Jo :) I to trochę za mocno. To stoi na serwerze dla firmy więc niestety
czasami nie ma wyboru i z pewnych adresów trzeba pocztę łykać. Ostatnie
2 tyg. białolistuję na potęgę, bo przestały dochodzić faktury i mejle od
starych klientów.
Zmieniłem komunikat na nieco bardziej stonowany, bo w wielu przypadkach
odbija bogu ducha winnym ludziom, tylko dlatego, że mają nieszczęście
korzystać z tego samego serwera co spamerzy.
No niestety ale jak zrobisz whitelistę albo jakoś rozdzielisz co się bl.
a co rhsbl. i będziesz inaczej traktował to jakoś sam wypośrodkujesz
własne potrzeby.
Każdy decyduje sam ale wzorowo bije cały spam branży fintech.

Marcin Debowski
2021-09-17 07:43:38 UTC
Permalink
Post by Lemat
Post by Marcin Debowski
Post by KIKI
Post by Marcin Debowski
Próbuję wpuszczać pocztę z paru ogólnych adresów zanim rbl się rozprawi
Może ja ci odpowiem, bo te złośliwce będą drażnić tylko :-)
smtpd_client_restrictions =
permit_mynetworks,
...
check_client_access hash:/etc/postfix/rbl_override, <-----------
Ja sobie to nazywam rbl_override i ma być w cliencie
No więc w końcu też to dałem ale wyłapuje mi za dużo.
smtpd_recipient_restrictions =
check_client_access hash:/etc/postfix/access_sender
permit_sasl_authenticated,
permit_mynetworks,
reject_unauth_destination,
check_client_access hash:/etc/postfix/rbl_override,
reject_rbl_client zen.spamhaus.org,
reject_rbl_client bl.spamcop.net,
reject_rbl_client dnsbl.sorbs.net,
reject_rbl_client spam.dnsbl.sorbs.net
Nie mogę ani wyszukać ani rokminić formatu tego pliku rbl_override
/etc/postfix/rbl_override
@interia.pl OK
interia.pl OK
@orange.pl OK
orange.pl OK
poczta.interia.pl OK
smtpo.poczta.interia.pl OK
wp.pl OK
@wp.pl OK
Nadal odrzuca mi niektóre mejle z interii mimo, że nadchodzą z
smtpo.poczta.interia.pl. Widzę po logach, że sprawdzanie idzie po IP a
smtpo.poczta.interia.pl miewa IP różne. Jak to zrobić, żeby szło po
nazwie?
check_CLIENT_access wyszukuje w pliku CLIENTA czyli albo adres IP albo
revDNS,
check_SENDER_access wyszukuje w pliku SENDERA - czyli adres email.
Jednak jeszcze jedna rzecz mi nie działa:
check_sender_access hash:/etc/postfix/rbl_override.sender,

powód jest taki, że jest to pod smtpd_client_restrictions?

Ale teraz, jeśli utworzę:
smtpd_sender_restrictions =
check_sender_access hash:/etc/postfix/rbl_override.sender,
permit

i tam to wrzuce to nadal nie działa.
--
Marcin
KIKI
2021-09-03 17:20:09 UTC
Permalink
Post by Marcin Debowski
smtpd_recipient_restrictions =
check_client_access hash:/etc/postfix/access_sender
permit_sasl_authenticated,
permit_mynetworks,
reject_unauth_destination,
check_client_access hash:/etc/postfix/rbl_override,
reject_rbl_client zen.spamhaus.org,
reject_rbl_client bl.spamcop.net,
reject_rbl_client dnsbl.sorbs.net,
reject_rbl_client spam.dnsbl.sorbs.net
Ostatnio zrezygnowałem z zagranicznych RBL-i, bo coś dzieje się
niedobrego, tak jakby całą Polskę tam listowano albo całe google czy
całe portale wp/onet/o2. W sumie to się nie dziwię.

Teraz zrób tak:

smtpd_client_restrictions =
permit_mynetworks,
permit_sasl_authenticated,
reject_unauth_pipelining,
reject_unknown_client_hostname,
reject_unknown_reverse_client_hostname,
check_helo_access hash:/etc/postfix/access_helo,
check_client_access hash:/etc/postfix/rbl_override,
permit_dnswl_client ip4.white.polspam.pl,
check_sender_access hash:/etc/postfix/sender_access,
### POLSPAM.PL ###
reject_rhsbl_sender rhsbl-danger.rbl.polspam.pl,
reject_rhsbl_reverse_client rhsbl-danger.rbl.polspam.pl,
reject_rhsbl_client rhsbl-danger.rbl.polspam.pl,
reject_rhsbl_sender rhsbl.rbl.polspam.pl,
reject_rhsbl_reverse_client rhsbl.rbl.polspam.pl,
reject_rhsbl_client rhsbl.rbl.polspam.pl,
reject_rbl_client bl.rbl.polspam.pl,
reject_rbl_client bl-h5.rbl.polspam.pl,
###
### reject_rbl_client zen.spamhaus.org,
### reject_rbl_client bl.spamcop.net,
### reject_rbl_client cbl.abuseat.org,
### reject_rbl_client dnsbl.sorbs.net,
### reject_rhsbl_sender rhsbl-h.rbl.polspam.pl,
### reject_rhsbl_reverse_client rhsbl-h.rbl.polspam.pl,
### reject_rbl_client bl-h1.rbl.polspam.pl,
### reject_rhsbl_client rhsbl-h.rbl.polspam.pl,
permit
Marcin Debowski
2021-09-04 07:47:22 UTC
Permalink
Post by KIKI
Post by Marcin Debowski
smtpd_recipient_restrictions =
check_client_access hash:/etc/postfix/access_sender
permit_sasl_authenticated,
permit_mynetworks,
reject_unauth_destination,
check_client_access hash:/etc/postfix/rbl_override,
reject_rbl_client zen.spamhaus.org,
reject_rbl_client bl.spamcop.net,
reject_rbl_client dnsbl.sorbs.net,
reject_rbl_client spam.dnsbl.sorbs.net
Ostatnio zrezygnowałem z zagranicznych RBL-i, bo coś dzieje się
niedobrego, tak jakby całą Polskę tam listowano albo całe google czy
całe portale wp/onet/o2. W sumie to się nie dziwię.
smtpd_client_restrictions =
permit_mynetworks,
permit_sasl_authenticated,
reject_unauth_pipelining,
reject_unknown_client_hostname,
reject_unknown_reverse_client_hostname,
Te dwa powyższe są bezpieczne? W sensie, nie robią jakiegoś dużego spustoszenia?
Post by KIKI
check_helo_access hash:/etc/postfix/access_helo,
Co to robi w sensie czysto praktycznym?
Post by KIKI
check_client_access hash:/etc/postfix/rbl_override,
permit_dnswl_client ip4.white.polspam.pl,
check_sender_access hash:/etc/postfix/sender_access,
### POLSPAM.PL ###
reject_rhsbl_sender rhsbl-danger.rbl.polspam.pl,
reject_rhsbl_reverse_client rhsbl-danger.rbl.polspam.pl,
reject_rhsbl_client rhsbl-danger.rbl.polspam.pl,
reject_rhsbl_sender rhsbl.rbl.polspam.pl,
reject_rhsbl_reverse_client rhsbl.rbl.polspam.pl,
reject_rhsbl_client rhsbl.rbl.polspam.pl,
reject_rbl_client bl.rbl.polspam.pl,
reject_rbl_client bl-h5.rbl.polspam.pl,
permit
To permit na końcu jest potrzebne? Nie mam tego u siebie.

Dzięki!
--
Marcin
Lemat
2021-09-04 09:31:05 UTC
Permalink
Post by Marcin Debowski
Post by KIKI
Post by Marcin Debowski
smtpd_recipient_restrictions =
check_client_access hash:/etc/postfix/access_sender
permit_sasl_authenticated,
permit_mynetworks,
reject_unauth_destination,
check_client_access hash:/etc/postfix/rbl_override,
reject_rbl_client zen.spamhaus.org,
reject_rbl_client bl.spamcop.net,
reject_rbl_client dnsbl.sorbs.net,
reject_rbl_client spam.dnsbl.sorbs.net
Ostatnio zrezygnowałem z zagranicznych RBL-i, bo coś dzieje się
niedobrego, tak jakby całą Polskę tam listowano albo całe google czy
całe portale wp/onet/o2. W sumie to się nie dziwię.
smtpd_client_restrictions =
permit_mynetworks,
permit_sasl_authenticated,
reject_unauth_pipelining,
reject_unknown_client_hostname,
reject_unknown_reverse_client_hostname,
Te dwa powyższe są bezpieczne? W sensie, nie robią jakiegoś dużego spustoszenia?
Post by KIKI
check_helo_access hash:/etc/postfix/access_helo,
Co to robi w sensie czysto praktycznym?
Post by KIKI
check_client_access hash:/etc/postfix/rbl_override,
permit_dnswl_client ip4.white.polspam.pl,
check_sender_access hash:/etc/postfix/sender_access,
### POLSPAM.PL ###
reject_rhsbl_sender rhsbl-danger.rbl.polspam.pl,
reject_rhsbl_reverse_client rhsbl-danger.rbl.polspam.pl,
reject_rhsbl_client rhsbl-danger.rbl.polspam.pl,
reject_rhsbl_sender rhsbl.rbl.polspam.pl,
reject_rhsbl_reverse_client rhsbl.rbl.polspam.pl,
reject_rhsbl_client rhsbl.rbl.polspam.pl,
reject_rbl_client bl.rbl.polspam.pl,
reject_rbl_client bl-h5.rbl.polspam.pl,
permit
To permit na końcu jest potrzebne? Nie mam tego u siebie.
Dzięki!
Gdyby tylko ktoś miał stronę www, na której to wszystko jest opisane po
polsku... a nie, czekaj...
--
Pozdrawiam
Lemat
Lemat
2021-09-04 11:37:17 UTC
Permalink
Post by Lemat
Gdyby tylko ktoś miał stronę www, na której to wszystko jest opisane po
polsku... a nie, czekaj...
Te strony, do których mnie odsyłasz mają jakieś statystyki odrzuceń np.
po revDNS czy braku nazwy skojarzonej z IP? A przy check_helo_access też
jest tam opisane jakie są tego praktyczne konsekwencje? "A client can
simply skip check_helo_access by not sending HELO or EHLO)." Co to
oznacza w PRAKTYCE (użyłem pochodnego słówka). Rozumiem, że część nie
wysyła. Jakie są tego konsekwencje? Jest to jakieś zagrożenie? Wal
śmiało linkiem, może być po angielsku.
ok, nie złapałeś żartu...
odsyłam Cię do konkretnej strony:
http://www.lemat.priv.pl/index.php?m=page&pg_id=90

ad1) revDNS - polecam ustawić, w polskich warunkach sprawdza się przy
minimalnych false-positive wynikających z błędów ludzkich, revDNS zaczął
być wymagany przez dużych graczy i wszyscy wtedy się jakoś nauczyli
poprawnie go konfigurować,

ad2) opis check_helo_access, co i gdzie - tak,

ad3) konsekwencje braku EHLO - żaden szanujący się MTA nie pomija etapu
HELO/EHLO
--
Pozdrawiam
Lemat
Marcin Debowski
2021-09-04 11:43:43 UTC
Permalink
Post by Lemat
Post by Lemat
Gdyby tylko ktoś miał stronę www, na której to wszystko jest opisane po
polsku... a nie, czekaj...
Te strony, do których mnie odsyłasz mają jakieś statystyki odrzuceń np.
po revDNS czy braku nazwy skojarzonej z IP? A przy check_helo_access też
jest tam opisane jakie są tego praktyczne konsekwencje? "A client can
simply skip check_helo_access by not sending HELO or EHLO)." Co to
oznacza w PRAKTYCE (użyłem pochodnego słówka). Rozumiem, że część nie
wysyła. Jakie są tego konsekwencje? Jest to jakieś zagrożenie? Wal
śmiało linkiem, może być po angielsku.
ok, nie złapałeś żartu...
http://www.lemat.priv.pl/index.php?m=page&pg_id=90
ad1) revDNS - polecam ustawić, w polskich warunkach sprawdza się przy
minimalnych false-positive wynikających z błędów ludzkich, revDNS zaczął
być wymagany przez dużych graczy i wszyscy wtedy się jakoś nauczyli
poprawnie go konfigurować,
ad2) opis check_helo_access, co i gdzie - tak,
ad3) konsekwencje braku EHLO - żaden szanujący się MTA nie pomija etapu
HELO/EHLO
Dzieki. Z chęcią przeczytam.
--
Marcin
KIKI
2021-09-07 11:10:24 UTC
Permalink
Post by Marcin Debowski
Post by KIKI
check_helo_access hash:/etc/postfix/access_helo,
Co to robi w sensie czysto praktycznym?
Wpisujesz tam swoje adresy IP, swoje domeny i localhosta, banujesz sam
siebie żeby ci nie wysyłali od ciebie do ciebie w nagłówku.
Loading...