Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- centos:mail_c7:spam_2 [05.11.2014 18:33. ] – [systemd Startscript anlegen] django
+++ centos:mail_c7:spam_2 [20.04.2018 10:32. ] – Externe Bearbeitung 127.0.0.1
@@ Zeile 424: / Zeile 424: @@
 ==== Postfix Konfiguration ====
-Bei den **smtpd_recipient_restrictions** tragen wir nun zur Aktivierung folgenden Eintrag nach dem greylisting-Eintrag ein.
+Bei der [[centos:mail_c7:mta_4|Grundkonfiguration]] unseres Postfix-SMTP-Servers hatten wir bereits in der Section [[centos:mail_c7:mta_4#smtp_recipient_restrictions|SMTP Recipient Restrictions]] die nötige Konfigurationszeile angelegt. Wir aktivieren also die zugehörigen beiden Optionen **check_client_access btree:/etc/postfix/policyd_weight_client_whitelist** und **check_policy_service inet:127.0.0.1:12525** in der Konfigurationsdatei.
    # vim /etc/postfix/main.cf
 <code bash>...
-# Greylisting via postgrey checken via Unix-Socket      (Kapitel 9.2.5 postgrey installieren)
-        check_policy_service unix:postgrey/socket,
-# Policyd-Weight check over TCP-Connection              (Kapitel 9.3 policyd-weight installieren)
-        check_client_access btree:/etc/postfix/policyd_weight_client_whitelist,
-        check_policy_service inet:127.0.0.1:12525,
-...
-</code>
+################################################################################
+## SMTP RECIPIENT RESTRICTIONS
+#
+# Django : 2014-10-29 - Schutz unserer Empfänger mit Hilfe der Recipient
+#          Restrictions
+# default: smtpd_recipient_restrictions =
+smtpd_recipient_restrictions =
+#          Postmaster, abuse und andere aufgaben- oder funktionsgebundene
+#          eMail-Adressen (Role-Accounts) whitelisten
+           check_recipient_access btree:/etc/postfix/access_recipient-rfc
+#          Black- und Whitelisting       (Kapitel 8.2.3 White- und Blacklisting)
+           check_client_access cidr:/etc/postfix/access_client
+           check_helo_access btree:/etc/postfix/access_helo
+           check_sender_access btree:/etc/postfix/access_sender
+           check_recipient_access btree:/etc/postfix/access_recipient
+#          Unsere eigenen Nutzer zulassen-/erlauben
+#                                (Kapitel 8.2.2 Relaying erlauben und verbieten)
+           permit_sasl_authenticated
+           permit_mynetworks
+#          RBL überprüfen               (Kapitel 10.11 Realtime Blackhole Lists)
+           reject_rbl_client zen.spamhaus.org
+           reject_rbl_client ix.dnsbl.manitu.net
+           reject_rbl_client bl.spamcop.net
+           reject_rhsbl_client multi.uribl.com
+#          Greylisting via postgrey checken via Unix-Socket
+#                                          (Kapitel 9.2.5 postgrey installieren)
+           check_policy_service unix:postgrey/socket
+#          Policyd-Weight check over TCP-Connection
+#                                      (Kapitel 9.3 policyd-weight installieren)
+           check_client_access btree:/etc/postfix/policyd_weight_client_whitelist
+           check_policy_service inet:127.0.0.1:12525
+#          Dynamische Prüfung auf existente Relay-Empfänger
+#                            (Kapitel 12.2.2 Dynamische Empfänger-Verifizierung)
+           reject_unverified_recipient
+#          Backupserver (MX) erlauben
+           permit_mx_backup
+#          alles andere an relaying verbieten
+#                                (Kapitel 8.2.2 Relaying erlauben und verbieten)
+           reject_unauth_destination
+#          Quota-Status-Policy-Daemon am Dovecot-Backend-System
+#          Dovecotbuch (ISBN 978-3-95539-74-7) Seite 219 ff.
+#                          (Kapitel 11.11 "Der Quota-Policy-Server für Postfix")
+           check_policy_service inet:10.0.0.77:10000
+#          Zu guter Letzt alles durchlassen, was bis jetzt noch nicht
+#          beanstandet wurde
+           permit
+</code>
 ===== Programmstart =====
+Das Staretn des Daemon erfolgt über folgenden Aufruf.
    # systemctl start policyd-weight
+Den erfolgreichen Start bzw. den Status des policyd-weight Daemon können wir bei Bedarf mit folgendem Aufruf abfragen.
    # systemctl status policyd-weight
 <code>policyd-weight.service - policyd-weight is a Perl policy daemon for the Postfix MTA (2.1 and later) intended to eliminate forged envelope senders and HELOs (i.e. in bogus mails).
@@ Zeile 462: / Zeile 508: @@
 </code>
+Im Maillog wird der Start des Daemon entsprechend dokumentiert.
    # less /var/log/maillog
 <code>Nov  5 16:46:56 vml000087 postfix/policyd-weight[6316]: policyd-weight 0.1.15 beta-2 started and daemonized. conf:/etc/policyd-weight.conf; GID:995 995 EGID:995 995 UID:995 EUID:995; taint mode: 0
@@ Zeile 468: / Zeile 515: @@
 </code>
+Mit Hilfe von **netstat** können wir überprüfen, ob der Port **12525** geöffnet wurde.
    # netstat -tulpen
 <code>Active Internet connections (only servers)
@@ Zeile 486: / Zeile 533: @@
 udp        0      0 127.0.0.1:323           0.0.0.0:*                           0          20920      594/chronyd
 </code>
+Gleiches können wir natürlich auch mit dem Befehl **lsof** erreichen.
    # lsof -i:12525
@@ Zeile 491: / Zeile 540: @@
    policyd-w 6316 polw    4u  IPv4  67780      0t0  TCP localhost:12525 (LISTEN)
+Damit der Daemon automatisch beim Hochfahren des Servers gestartet wird, nutzen wir folgenden Aufruf.
    # systemctl enable policyd-weight.service
    ln -s '/usr/lib/systemd/system/policyd-weight.service' '/etc/systemd/system/multi-user.target.wants/policyd-weight.service'
+Wollen wir überprüfen ob der Dienst automatisch startet, verwenden wir folgenden Aufruf.
    # systemctl is-enabled policyd-weight.service
@@ Zeile 500: / Zeile 551: @@
    enabled
+Die Rückmeldung **enabled** zeigt an, dass der Dienst automatisch startet; ein **disabled** zeigt entsprechend an, dass der Dienst __nicht__ automatisch startet.
@@ Zeile 548: / Zeile 600: @@
   - **Daemon starten** <code># systemctl start policyd-weight start</code>
+===== FAZIT =====
+Der Policy-Daemon **policyd-weight** hat sich, wie auch **[[centos:mail_c7:spam_1|greylisting]]** in der Abwehr von SPAM und anderen unerwünschten Verkehrs bestens bewährt, kann so doch jede Menge des unerwünschten Traffics abgelehnt werden.
+Da aber der Dienst **rfc-ignorant.org** mittlerweilen den Dienst eingestellt hat und die Gewichtung der unterschiedlichen Gewichtung von **[[http://de.wikipedia.org/wiki/DNS-based_Blackhole_List|DNSBL]]**s der Postfix Daemon **[[centos:mail_c7:spam_3|postscreen]]** bestens beherrscht, ist der Einsatz von **policyd-weight** gut zu überlegen!
+<WRAP center round tip>
+**summa sumarum:**
+Wie auch schon beim **[[centos:mail_c7:spam_1|greylisting]]** setzt man statt auf **greylisting** und auf **policyd-weight** nunmehr besser auf **[[centos:mail_c7:spam_3|postscreen]]**!
+</WRAP>
+====== Links ======
+  * **⇐ [[centos:mail_c7:spam_1|Zurück zum Kapitel "SPAM-Abwehr mit Hilfe von Greylisting"]]**
+  * **⇒ [[centos:mail_c7:spam_3|Weiter zum Kapitel "Postscreen - Schutz vor Überbelastung und SPAM-Abwehr"]]**
+  * **[[centos:mail_c7:start|Zurück zum Kapitel >>Mailserverinstallation unter CentOS 7<<]]**
+  * **[[wiki:start|Zurück zu >>Projekte und Themenkapitel<<]]**
+  * **[[http://dokuwiki.nausch.org/doku.php/|Zurück zur Startseite]]**
+~~AUTOTWEET:~~