postscreen

Robert Schetterer rs at sys4.de
Do Okt 30 11:31:09 CET 2014


Am 30.10.2014 um 11:06 schrieb django at nausch.org:
> HI Joda,
> 
> Nachdem Du mich bei Deinem Besuch angefixt hast, hab ich mich mal an
> postscreen vergriffen. Herausgekommen ist erst einmal folgende
> Konfiguration.
> 
> --------------------------------------------------------------------------------
> 
> master.cf
> 
> smtp      inet  n       -       n       -       1       postscreen
> smtpd     pass  -       -       n       -       -       smtpd
>           -o
> smtpd_milters=${spf_milter},${opendkim_milter},${opendmarc_milter},${amavisd_milter}

"ungewoehnlich" das hier reinzuschreiben...
ausserdem moeglicherweise koennte die Verkettung von "diesen" Miltern zu
Problemen fuehren wenn du nicht die letzte postfix version 2.11.3 nutzt
aber moeglicherweise ist dir das ja schon klar bzw du hast es im Griff

https://sys4.de/de/blog/2014/09/20/fallstricke-mit-opendmarc-und-postfix/

bei einem Test wuerde ich opendmarc  ( oder einfach alle milter )
erstmal weglassen, weil Thema fuer sich , und mich erst am Ende des
Setups damit beschaeftigen wenn klar ist das alles "andere"
funktioniert, meine persoenliche Meinung waere sogar ,opendmarc nur
selektiv einzusetzen z.b mit milter-manager

> 
> 
> dnsblog   unix  -       -       n       -       0       dnsblog
> tlsproxy  unix  -       -       n       -       0       tlsproxy
> 
> --------------------------------------------------------------------------------
> 
> 
> 
> --------------------------------------------------------------------------------
> 
> main.cf
> ################################################################################
> 
> ## Postscreen
> #
> # Django : 2014-10-29 - PERMANENT WHITE/BLACKLIST TEST
> # default: postscreen_access_list = permit_mynetworks
> postscreen_access_list = permit_mynetworks
>                          cidr:/etc/postfix/postscreen_whitelist
> #
> # default: postscreen_blacklist_action = ignore
> postscreen_blacklist_action = drop
> 
> 
> # Django : 2014-10-29 - MAIL EXCHANGER POLICY TESTS
> # default: postscreen_whitelist_interfaces = static:all
> postscreen_whitelist_interfaces = !88.217.171.167
>                                   static:all
> 
> 
> # Django : 2014-10-29 - BEFORE 220 GREETING TESTS
> # default: postscreen_dnsbl_threshold = 1
> postscreen_dnsbl_threshold = 2
> #
> # default: postscreen_dnsbl_sites =
> postscreen_dnsbl_sites = zen.spamhaus.org*2
>                          bl.spamcop.net*1
>                          b.barracudacentral.org*1
>                          swl.spamhaus.org*2
> #
> # default: postscreen_dnsbl_action = ignore
> postscreen_dnsbl_action = enforce
> #
> # default: postscreen_greet_banner = $smtpd_banner
> #
> # default: postscreen_greet_action = ignore
> postscreen_greet_action = enforce
> 
> 
> # Django : 2014-10-29 - AFTER 220 GREETING TESTS
> # default: postscreen_bare_newline_action = ignore
> postscreen_bare_newline_action = drop
> #
> # default: postscreen_bare_newline_enable = no
> postscreen_bare_newline_enable = yes
> #
> # default: postscreen_non_smtp_command_enable = no
> postscreen_non_smtp_command_enable = yes
> # default: postscreen_non_smtp_command_action = drop
> #
> # default: postscreen_pipelining_enable = no
> postscreen_pipelining_enable = yes
> #
> # default: postscreen_pipelining_action = enforce
> 
> --------------------------------------------------------------------------------
> 
> 
> Das Ganze scheint auf den ersten Blick recht gut zu funktionieren - ganz
> 100%ig bin ich mir da aber nicht sicher. Warum? na ab und ann sehe ich
> folgende Meldungen im maillog:
> Oct 30 09:43:44 vml000080 postfix/postscreen[14951]: NOQUEUE: reject:
> RCPT from [193.169.180.107]:54690: 450 4.3.2 Service currently
> unavailable; from=<return at news.mytoys.de>, to=<redacted at nausch.org>,
> proto=ESMTP, helo=<mail17-107.srv2.de>
> Oct 30 09:43:44 vml000080 postfix/postscreen[14951]: warning: unknown
> macro name "client" in expansion request
> 
> Der 450er stört mich nun erst mal nicht so recht, viel mehr diese
> WARNING: nknown macro name "client" in expansion request
> Was'n datt?
> 
> Wenn ich es richtig aus dem maillog gegrep't hab dann dürft das da der
> komplette zugehörige Sermon des ersten Zustellversuchs sein:
> Oct 30 09:43:38 vml000080 postfix/postscreen[14951]: CONNECT from
> [193.169.180.107]:54690 to [10.0.0.80]:25
> Oct 30 09:43:44 vml000080 postfix/postscreen[14951]:
> [193.169.180.107]54690: discarding EHLO keywords: DSN
> Oct 30 09:43:44 vml000080 postfix/postscreen[14951]: NOQUEUE: reject:
> RCPT from [193.169.180.107]:54690: 450 4.3.2 Service currently
> unavailable; from=<return at news.mytoys.de>, to=<redacted at nausch.org>,
> proto=ESMTP, helo=<mail17-107.srv2.de>
> Oct 30 09:43:44 vml000080 postfix/postscreen[14951]: warning: unknown
> macro name "client" in expansion request
> Oct 30 09:43:44 vml000080 postfix/postscreen[14951]: PASS NEW
> [193.169.180.107]:54690
> Oct 30 09:43:44 vml000080 postfix/postscreen[14951]: DISCONNECT
> [193.169.180.107]:54690
> 
> Dann kommt er wieder:
> Oct 30 09:53:54 vml000080 postfix/postscreen[14951]: CONNECT from
> [193.169.180.107]:55755 to [10.0.0.80]:25
> Oct 30 09:53:54 vml000080 postfix/postscreen[14951]: PASS OLD
> [193.169.180.107]:55755
> Oct 30 09:53:54 vml000080 postfix/smtpd[15632]: connect from
> mail17-107.srv2.de[193.169.180.107]
> Oct 30 09:53:54 vml000080 postfix/smtpd[15632]: discarding EHLO
> keywords: DSN
> Oct 30 09:53:54 vml000080 smf-spf[12097]: SPF pass: ip=193.169.180.107,
> fqdn=mail17-107.srv2.de, helo=mail17-107.srv2.de,
> from=<return at news.mytoys.de>
> Oct 30 09:53:55 vml000080 postfix/smtpd[15632]: 3BD0175:
> client=mail17-107.srv2.de[193.169.180.107]
> Oct 30 09:53:55 vml000080 postfix/cleanup[14362]: 3BD0175:
> message-id=<re-pTf3SwushbLdwAjqbbGt4j-13RR982X-13ME1R6S-62QD4X at news.mytoys.de>
> 
> Oct 30 09:53:55 vml000080 opendkim[1147]: 3BD0175: mail17-107.srv2.de
> [193.169.180.107] not internal
> Oct 30 09:53:55 vml000080 opendkim[1147]: 3BD0175: not authenticated
> Oct 30 09:53:55 vml000080 opendkim[1147]: 3BD0175: DKIM verification
> successful
> Oct 30 09:53:55 vml000080 opendmarc[1446]: 3BD0175: news.mytoys.de none
> Oct 30 09:53:58 vml000080 postfix/qmgr[10267]: 3BD0175:
> from=<return at news.mytoys.de>, size=96158, nrcpt=1 (queue active)
> Oct 30 09:53:58 vml000080 postfix/smtpd[15632]: disconnect from
> mail17-107.srv2.de[193.169.180.107]
> Oct 30 09:53:58 vml000080 postfix/lmtp[15548]: 3BD0175:
> to=<redacted at nausch.org>, relay=10.0.0.77[10.0.0.77]:24, delay=4.1,
> delays=4/0/0/0.15, dsn=2.0.0, status=sent (250 2.0.0
> <redacted at nausch.org> 0XDGBev7UVS+QAAArK2B9Q Saved)
> Oct 30 09:53:58 vml000080 postfix/qmgr[10267]: 3BD0175: removed
> 
> "PASS NEW" bedeutet doch, dass der Client alle Test bestanden hat und er
> einen temporären Whitelisting-Eintrag bekommen hat. Richtig?
> 
> Da ich in meiner Konfig "deep protocol tests" aktiviert habe, kann
> postscreen die Verbindung nicht mehr an den eigentlichen SMTP-Daemon
> weiterreichen. Richtig?
> Daher kommt auch der "450 4.3.2 Service currently unavailable" zustande.
> Richtig?
> 
> Aber was ist nun mit dieser Meldung >>unknown macro name "client" in
> expansion request<<? Die verstehe ich nicht ganz? Was will/soll mir das
> sagen? \o/
> 
> Ich fürchte, ich brauch da noch ein wenig Hilfe bevor ich datt janze auf
> meiner ersten Produktions-Maschine einsetze.
> 
> 
> Servus
> Django



Best Regards
MfG Robert Schetterer

-- 
[*] sys4 AG

http://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München

Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein


Mehr Informationen über die Mailingliste postfix-users