[postfix-users] Einstellung zum Schutz vor Masssenmails
francwalter at gmx.net
francwalter at gmx.net
Do Aug 9 15:47:13 CEST 2012
Am 08.08.2012 um 22:19 schrieb lst_hoe02 at kwsoft.de:
>
> Zitat von francwalter at gmx.net:
>
>> Hallo
>>
>> ich habe einen Postfix 2.9.3-2 auf Ubuntu 12.04 laufen und gerade das Problem, dass ein Massenmail (Serienmail mit über 500 Adressaten) das über eine Warenwirtschaft (Büro Plus Next) versendet wird, dort sehr schnell mit unklaren Fehlermeldungen abgebrochen wird.
>> Dort heißt es zuerst:
>>
>> ?E-Mail versenden abgebrochen! E-Mail 10 von 10 versenden fehlgeschlagen. Unknown? und dann: ?Verbindung mit SMTP Server fehlgeschlagen. Already connected?.
>>
>> Einzelne Mails lassen sich über diesen Serienmailer aber versenden, es muss an den vielen Mails liegen (über 500 Stück).
>>
>> Im Mail-Log des Servers ist kein Hinweis auf eine Ablehnung, ein paar Mails des Serienmails sind dort zu finden, aber dann hört es auf. Kein Fehler dort.
>>
>> Gibt es vielleicht eine Postfix Einstellung, mit der man solche Massenmails abblocken könnte?
>> Ich erinnere mich nicht, so etwas eingestellt zu haben, finde auch nichts dazu.
>
> Hallo
>
> das einzige was Postfix "out-of-the-box" macht ist ein limit für die gleichzeitigen Verbindungen zu setzen (smtpd in master.cf meistens 100) und die Anzahl der Empfänger pro Mail auf 100 zu begrenzen (smtpd_recipient_limit). Falls eines dieser Sicherheitsmerkmale greift ist dies auch im Logfile vermerkt. Wenn also im Postfix Log wirklich keinerlei Fehler/Warnungen zu finden sind, hat eher der Sender ein Problem. Eventuell verschluckt sich der Sender mit ESMTP Pipelining, deshalb einfach mal ESMTP abschalten (smtpd_discard_ehlo_keywords).
>
> Gruß
>
> Andreas
>
Vielen Dank schon mal. Ich hab nun in die main.cf eingefügt:
smtpd_discard_ehlo_keywords = dsn
Leider keine Änderung. Immer wieder diese Fehlermeldung “Already connected”.
Meine master.cf enthält sowas (smtpd … 100) wohl nicht:
master.cf
smtp inet n - - - - smtpd
-o smtp_data_done_timeout=300
-o smtp_send_xforward_command=yes
-o smtpd_proxy_timeout=300s
-o smtpd_proxy_filter=[127.0.0.1]:10024
smtps inet n - - - - smtpd
-o smtpd_tls_wrappermode=yes
-o smtpd_sasl_auth_enable=yes
-o smtpd_client_restrictions=permit_sasl_authenticated,reject
-o milter_macro_daemon_name=ORIGINATING
pickup fifo n - - 60 1 pickup
-o content_filter=
-o receive_override_options=no_header_body_checks
cleanup unix n - - - 0 cleanup
qmgr fifo n - n 300 1 qmgr
tlsmgr unix - - - 1000? 1 tlsmgr
rewrite unix - - - - - trivial-rewrite
bounce unix - - - - 0 bounce
defer unix - - - - 0 bounce
trace unix - - - - 0 bounce
verify unix - - - - 1 verify
flush unix n - - 1000? 0 flush
proxymap unix - - n - - proxymap
proxywrite unix - - n - 1 proxymap
smtp unix - - - - - smtp
relay unix - - - - - smtp
-o smtp_fallback_relay=
showq unix n - - - - showq
error unix - - - - - error
retry unix - - - - - error
discard unix - - - - - discard
local unix - n n - - local
virtual unix - n n - - virtual
lmtp unix - - - - - lmtp
anvil unix - - - - 1 anvil
scache unix - - - - 1 scache
maildrop unix - n n - - pipe
flags=DRhu user=vmail argv=/usr/bin/maildrop -d ${recipient}
uucp unix - n n - - pipe
flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient)
ifmail unix - n n - - pipe
flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient)
bsmtp unix - n n - - pipe
flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -t$nexthop -f$sender $recipient
scalemail-backend unix - n n - 2 pipe
flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store ${nexthop} ${user} ${extension}
mailman unix - n n - - pipe
flags=FR user=list argv=/usr/lib/mailman/bin/postfix-to-mailman.py
${nexthop} ${user}
dovecot unix - n n - - pipe
flags=DRhu user=vmail:vmail argv=/usr/lib/dovecot/deliver -d ${recipient}
smtp-amavis unix - - - - 2 smtp
-o smtp_data_done_timeout=1200
-o smtp_send_xforward_command=yes
-o disable_dns_lookups=yes
-o max_use=20
127.0.0.1:10025 inet n - - - - smtpd
-o content_filter=
-o local_recipient_maps=
-o relay_recipient_maps=
-o smtpd_restriction_classes=
-o smtpd_delay_reject=no
-o smtpd_client_restrictions=permit_mynetworks,reject
-o smtpd_helo_restrictions=
-o smtpd_sender_restrictions=
-o smtpd_recipient_restrictions=permit_mynetworks,reject
-o smtpd_data_restrictions=reject_unauth_pipelining
-o smtpd_end_of_data_restrictions=
-o mynetworks=127.0.0.0/8
-o smtpd_error_sleep_time=0
-o smtpd_soft_error_limit=1001
-o smtpd_hard_error_limit=1000
-o smtpd_client_connection_count_limit=0
-o smtpd_client_connection_rate_limit=0
-o receive_override_options=no_header_body_checks,no_unknown_recipient_checks
und in meiner main.cf finde ich auch nichts entsprechendes:
main.cf
soft_bounce = no
myhostname = ew6.org
mydestination = lists.7fw.de, lists.bamboo4you.de,
lists.ew6.org, lists.frankroehm.de,
lists.galadata.de, lists.kult-wuerzburg.de,
lists.mosquito-bar.com, lists.rosentalfc.de,
lists.subthilo.de, www.ew6.org, localhost
myorigin = /etc/mailname
append_dot_mydomain = no
smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu)
recipient_delimiter = +
readme_directory = no
smtpd_tls_cert_file = /etc/apache2/ssl/servercert.pem
smtpd_tls_key_file = /etc/apache2/ssl/serverkey.pem
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtpd_tls_auth_only = no
alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases,hash:/var/lib/mailman/data/aliases
mailbox_command = procmail -a "$EXTENSION"
mailbox_size_limit = 0
message_size_limit = 51200000
virtual_mailbox_domains = mysql:/etc/postfix/mysql-virtual-mailbox-domains.cf
virtual_mailbox_maps = mysql:/etc/postfix/mysql-virtual-mailbox-maps.cf
virtual_alias_maps = mysql:/etc/postfix/mysql-virtual-alias-maps.cf,mysql:/etc/postfix/mysql-email2email.cf
virtual_transport = dovecot
virtual_uid_maps = static:5000
virtual_gid_maps = static:5000
dovecot_destination_recipient_limit = 1
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_sasl_auth_enable = yes
smtpd_recipient_restrictions =
reject_unknown_sender_domain
reject_unknown_recipient_domain
permit_mynetworks
reject_unlisted_recipient
reject_non_fqdn_sender
reject_non_fqdn_recipient
reject_unlisted_sender
permit_sasl_authenticated
reject_unauth_destination
reject_invalid_helo_hostname
reject_non_fqdn_helo_hostname
reject_unknown_client_hostname
reject_unknown_helo_hostname
check_recipient_access hash:/etc/postfix/roleaccount_exceptions
check_client_access hash:/etc/postfix/rbl_client_exceptions
check_policy_service inet:127.0.0.1:60000
smtpd_data_restrictions =
reject_multi_recipient_bounce
reject_unauth_pipelining
smtpd_hard_error_limit = 10
smtpd_soft_error_limit = 8
smtpd_use_tls = yes
broken_sasl_auth_clients = yes
content_filter = smtp-amavis:[127.0.0.1]:10024
receive_override_options = no_address_mappings
unknown_local_recipient_reject_code = 550
smtpd_sasl_authenticated_header = yes
bounce_template_file = /etc/postfix/bounce.de-DE.cf
queue_directory = /var/spool/postfix
smtpd_discard_ehlo_keywords = dsn
Fällt da vielleicht sonst etwas auf, was ich übersehe?
Gruß franc
Mehr Informationen über die Mailingliste postfix-users