Fwd: Re: Fwd: Re: check-client-access-not-working ?

Andre Hohmann mail at andre-hohmann.net
Do Sep 3 14:53:48 CEST 2015


 

> ich selber verwende dafür postscreen:
> http://www.postfix.org/POSTSCREEN_README.html [1] -->
> http://www.postfix.org/POSTSCREEN_README.html#perm_white_black [2]
> 
> oder trag die IPs in der Firewall ein. Auch eine nette Lösung ist ipset
> + iptables. In ipset kannst du eine IP mit Ablaufzeit eintragen. Danach
> fliegt sie ohne weiteres Zutun aus dem ipset raus

Postscreen ist sicherlich eine feine Sache, erfüllt aber meine
Anforderungen denke ich nicht, da ich nicht "nur" IP´s, die Mails über
Port 25 einliefern, blacklisten möchte, sondern auch login-Versuche über
bestimmte IP´s verhindern möchte. 

Iptables wäre sicherlich eine Möglichkeit.Ich suche allerdings eine
Möglichkeit, postfix dazu zu bringen, anhand einer "IP-Liste"/blacklist
die Verbindung direkt zu trennen. Hierfür ist ja die check_client_access
grundsätzlich an sich gut nutzbar. Was mich stört bzw. was ich nicht
nachvollziehen kann, ist der Passus... 

> SMTP command specific restrictions that are described under the smtpd_helo_restrictions [3], smtpd_sender_restrictions [4] or smtpd_recipient_restrictions [5] parameters. When helo, sender or recipient restrictions are listed under smtpd_client_restrictions [6], they have effect only with "smtpd_delay_reject [7] = yes", so that $smtpd_client_restrictions [6] is evaluated at the time of the RCPT TO command.

---
Mit freundlichen Grüssen

 Andre Hohmann 

-------- Original Message -------- 

 		SUBJECT:
 		Re: Fwd: Re: check-client-access-not-working ?

 		DATE:
 		03.09.2015 08:45

 		FROM:
 		Tobi <tobster at brain-force.ch>

 		TO:
 		postfix-users at de.postfix.org

Am 03.09.2015 um 07:30 schrieb Andre Hohmann:

> Gibt es eine andere Möglichkeit, IP's zu blacklisten, ohne
> "smtpd_delay_reject" auf "Yes" setzen zu müssen?

ich selber verwende dafür postscreen:
http://www.postfix.org/POSTSCREEN_README.html [1] -->
http://www.postfix.org/POSTSCREEN_README.html#perm_white_black [2]

oder trag die IPs in der Firewall ein. Auch eine nette Lösung ist ipset
+ iptables. In ipset kannst du eine IP mit Ablaufzeit eintragen. Danach
fliegt sie ohne weiteres Zutun aus dem ipset raus

> -------- Original Message --------
> 
> Subject: Re: check-client-access-not-working ?
> Date: 02.09.2015 14:51
> From: Tobi <tobster at brain-force.ch>
> To: postfix-users at de.postfix.org
> 
> Am 02.09.2015 um 13:51 schrieb Andre Hohmann: 
> 
>> Hallo zusammen,
>> 
>> ich habe immer noch keine Lösung für folgendes Problem:
>> 
>> http://stackoverflow.com/questions/32270166/postfix-check-client-access-not-working [8]
>> 
>> Könnt ihr bitte mal schauen, ob ihr eine Idee habt? Hab die
>> Einstellungen nun schon mehrfach überprüft und auch neu gesetzt, und
>> kann mit immer noch nicht erklären, wo der Fehler liegt.
>> 
>> Besten Dank!
>> 
>> -- 
>> 
>> Mit freundlichen Grüssen
>> 
>> Andre Hohmann
> kann es sein, dass du smtpd_delay_reject nicht gesetzt und damit auf
> default YES hast?
> <<
> Wait until the RCPT TO command before evaluating
> $smtpd_client_restrictions, $smtpd_helo_restrictions and
> $smtpd_sender_restrictions, or wait until the ETRN command before
> evaluating $smtpd_client_restrictions and $smtpd_helo_restrictions.

 

Links:
------
[1] http://www.postfix.org/POSTSCREEN_README.html
[2] http://www.postfix.org/POSTSCREEN_README.html#perm_white_black
[3] http://www.postfix.org/postconf.5.html#smtpd_helo_restrictions
[4] http://www.postfix.org/postconf.5.html#smtpd_sender_restrictions
[5] http://www.postfix.org/postconf.5.html#smtpd_recipient_restrictions
[6] http://www.postfix.org/postconf.5.html#smtpd_client_restrictions
[7] http://www.postfix.org/postconf.5.html#smtpd_delay_reject
[8]
http://stackoverflow.com/questions/32270166/postfix-check-client-access-not-working
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://de.postfix.org/pipermail/postfix-users/attachments/20150903/44a93e6b/attachment.html>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 836 bytes
Beschreibung: nicht verfügbar
URL         : <http://de.postfix.org/pipermail/postfix-users/attachments/20150903/44a93e6b/attachment.sig>


Mehr Informationen über die Mailingliste postfix-users