Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung | |||
server:policyd-weight [2011/09/13 16:41] – st | server:policyd-weight [2015/01/15 20:15] (aktuell) – Prüfungen für eigene Kunden selektiv abschalten st | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
+ | ====== policyd-weight ====== | ||
+ | |||
+ | Policyd-weight ist ein E-Mail-Filter für den [[server: | ||
+ | |||
+ | Wird die Mail akzeptiert wird sie üblicherweise noch anderen Antispammaßnahmen unterzogen. Da policyd-weight nicht mit der kompletten Mail arbeitet werden Ressourcen des Servers gespart. | ||
+ | |||
+ | Quelle: [[wpde> | ||
+ | |||
+ | ===== Links ===== | ||
+ | |||
+ | * [[http:// | ||
+ | * [[http:// | ||
+ | |||
+ | |||
+ | ===== Konfiguration ===== | ||
+ | |||
+ | Wenn keine Datei ''/ | ||
+ | |||
+ | <code bash> | ||
+ | |||
+ | Zu Einstellungen siehe auch:< | ||
+ | |||
+ | |||
+ | :!: Leider kommt es vor das Blacklists nicht mehr weiterbetrieben werden und dann eine Antwort liefern die von policyd-weight als " | ||
+ | |||
+ | < | ||
+ | |||
+ | Diese Zeile führt dazu das JEDE mail automatisch 4,25 Punkte mehr zugewiesen bekommt was einige schlecht konfigurierte Server über die Ablehnungsschwelle bringt. Deshalb sollte diese Zeile entfernt werden! | ||
+ | |||
+ | Das gleiche gilt für die nicht existente Liste '' | ||
+ | |||
+ | < | ||
+ | |||
+ | In den Logdateien tauschen diese Einträge mit IN_IPv6_RBL=4.25 und NOT_IN_BL_NJABL=-1.5 auf, wobei letzteres sogar " | ||
+ | |||
+ | |||
+ | Siehe auch [[http:// | ||
+ | |||
+ | |||
+ | ==== Whitelisting ==== | ||
+ | |||
+ | |||
+ | Manche Organisation bekommen es nicht hin, ein standardkonformes Mailsetup vorzunehmen. Insbesondere wenn die komplette Versandinfrastruktur ausgelagert ist und mails von Servern eingeliefert werden die nicht im MX Record der Domain stehen bzw. auch nicht aus den selben IP-Netz stammen sieht es für einen restriktiv eingestellten Spamfilter so aus, also ob jemand vorgibt in Namen dritter mails zuzustellen für die er nicht autorisiert wurde. | ||
+ | |||
+ | Das sieht dann bei policyd-weight z. B. so aus: | ||
+ | < | ||
+ | FROM/ | ||
+ | CLIENT_NOT_MX/ | ||
+ | CLIENT/ | ||
+ | </ | ||
+ | |||
+ | Da macht schonmal 13,562 unnötige Punkte in der Bewertung, ist man dann noch auf eine Blacklist gerutscht bzw. macht einen weiteren Konfigurationfehler dann wird die ganze Kommunikation blockiert. | ||
+ | |||
+ | Da solche Organisationen selten einsichtig sind ist man wahrscheinlich gezwungen eine Ausnahmeregel einzurichten. Hier im Beispiel für " | ||
+ | |||
+ | < | ||
+ | @dnsbl_checks_only_regexps = ( | ||
+ | # qr/ | ||
+ | # qr/ | ||
+ | | ||
+ | ); | ||
+ | </ | ||
+ | |||
+ | Im Protokoll steht dann folgendes: | ||
+ | |||
+ | < | ||
+ | X-policyd-weight: | ||
+ | </ | ||
+ | |||
+ | |||
+ | |||
+ | ==== Prüfungen für eigene Kunden selektiv abschalten ==== | ||
+ | |||
+ | Wer selbst Mailserver betreibt wird (aus Arbeitsvermeidungs- oder anderen Gründen) versucht sein policy-weightd für manche Kunden (Empfängerdomains) zu deaktivieren. Das geht nicht direkt in policyd-weight weil er damit zum lügen angehalten werden soll: Für bestimmte Empfänger würde er den Absenderserver immer in Ordnung finden (egal was der anstellt hat), für den Rest korrekt antworten (Absenderserver sieht aus wie ein Spammer). | ||
+ | Das macht so keinen Sinn. | ||
+ | |||
+ | Es gibt diesen Weg so etwas dennoch zu bauen: | ||
+ | |||
+ | Der MTA ([[server: | ||
+ | |||
+ | **Alternativ** (meine Empfehlung) doch die Störenfriede einzeln whitelisten (so viele dürften es wohl auch nicht sein?) so dass immerhin blacklist-Tests für den Empfänger durchgeführt werden (weniger Spam), aber die kaputten mail-Versender dennoch mails abladen können:< | ||
+ | # broken senders: | ||
+ | | ||
+ | | ||
+ | )</ | ||
+ | |||
+ | |||
+ | ==== Konfigurationsdatei ==== | ||
+ | |||
+ | |||
+ | < | ||
+ | # ---------------------------------------------------------------- | ||
+ | # policyd-weight configuration (defaults) Version 0.1.15 devel-1 | ||
+ | # ---------------------------------------------------------------- | ||
+ | |||
+ | |||
+ | | ||
+ | |||
+ | | ||
+ | |||
+ | | ||
+ | # REJECTLEVEL will be rejected | ||
+ | |||
+ | | ||
+ | # A space separated case-sensitive list of | ||
+ | # strings on which if found in the $RET | ||
+ | # logging-string policyd-weight changes | ||
+ | # its action to $DEFER_ACTION in case | ||
+ | # of rejects. | ||
+ | # USE WITH CAUTION! | ||
+ | # DEFAULT: " | ||
+ | |||
+ | |||
+ | | ||
+ | # DEFER_IF_REJECT, | ||
+ | # 4xx response codes. See also access(5) | ||
+ | # DEFAULT: 450 | ||
+ | |||
+ | | ||
+ | # scores greater than DEFER_LEVEL will be | ||
+ | # rejected | ||
+ | # DEFAULT: 5 | ||
+ | |||
+ | | ||
+ | |||
+ | | ||
+ | # If ON request that ALL clients are only | ||
+ | # checked against RBLs | ||
+ | |||
+ | | ||
+ | # qr/ | ||
+ | # qr/ | ||
+ | ); # specify a comma-separated list of regexps | ||
+ | # for client hostnames which shall only | ||
+ | # be RBL checked. This does not work for | ||
+ | # postfix' | ||
+ | # The usage of this should not be the norm | ||
+ | # and is a tool for people which like to | ||
+ | # shoot in their own foot. | ||
+ | # DEFAULT: empty | ||
+ | | ||
+ | |||
+ | | ||
+ | # When set to ON it logs only RBLs which | ||
+ | # affect scoring (positive or negative) | ||
+ | | ||
+ | ## DNSBL settings | ||
+ | | ||
+ | # HOST, HIT SCORE, | ||
+ | ' | ||
+ | ' | ||
+ | ' | ||
+ | ' | ||
+ | ); | ||
+ | |||
+ | | ||
+ | # DNSBLS than this var, it gets | ||
+ | # REJECTed immediately | ||
+ | |||
+ | | ||
+ | # DNSBLs is ABOVE this | ||
+ | # level, reject immediately | ||
+ | |||
+ | | ||
+ | |||
+ | ## RHSBL settings | ||
+ | | ||
+ | ' | ||
+ | ' | ||
+ | ' | ||
+ | ' | ||
+ | ' | ||
+ | ); | ||
+ | |||
+ | | ||
+ | # errors | ||
+ | |||
+ | | ||
+ | |||
+ | ## cache stuff | ||
+ | | ||
+ | # trailing slash) | ||
+ | |||
+ | | ||
+ | # daemon. | ||
+ | |||
+ | | ||
+ | # before starting maintenance routines | ||
+ | # NOTE: standard maintenance jobs happen | ||
+ | # regardless of this setting. | ||
+ | |||
+ | | ||
+ | # maintenance jobs: | ||
+ | # checking for config changes | ||
+ | |||
+ | # negative (i.e. SPAM) result cache settings ################################## | ||
+ | |||
+ | | ||
+ | # To this level the cache will be cleaned. | ||
+ | |||
+ | | ||
+ | |||
+ | | ||
+ | |||
+ | | ||
+ | |||
+ | | ||
+ | # to decrease TTL counter | ||
+ | |||
+ | |||
+ | # positve (i.,e. HAM) result cache settings ################################### | ||
+ | |||
+ | | ||
+ | # of entries the cache will be cleaned | ||
+ | |||
+ | | ||
+ | |||
+ | | ||
+ | |||
+ | | ||
+ | # succeed one time the RBL checks again | ||
+ | |||
+ | | ||
+ | # must pass one time the RBL checks again. | ||
+ | # Values must be nonfractal. Accepted | ||
+ | # time-units: s, m, h, d | ||
+ | |||
+ | | ||
+ | # checks in order to be listed as hard-HAM | ||
+ | # After this time the client will pass | ||
+ | # immediately for PTTL within PTIME | ||
+ | |||
+ | |||
+ | ## DNS settings | ||
+ | | ||
+ | |||
+ | | ||
+ | |||
+ | | ||
+ | # in a complete policy query | ||
+ | |||
+ | | ||
+ | |||
+ | | ||
+ | # broken in Net::DNS version 0.51. Works with | ||
+ | # Net::DNS 0.53; DEFAULT: off | ||
+ | |||
+ | | ||
+ | # Normally policyd-weight tries to use a faster | ||
+ | # RBL lookup routine instead of Net::DNS | ||
+ | |||
+ | |||
+ | | ||
+ | # This overrides resolv.conf settings | ||
+ | # Example: $NS = ' | ||
+ | # DEFAULT: empty | ||
+ | |||
+ | |||
+ | | ||
+ | |||
+ | | ||
+ | # to smtpd clients in order to avoid too many | ||
+ | # established connections to one policyd-weight | ||
+ | # child | ||
+ | |||
+ | # scores for checks, WARNING: they may manipulate eachother | ||
+ | # or be factors for other scores. | ||
+ | # HIT score, MISS Score | ||
+ | | ||
+ | | ||
+ | | ||
+ | | ||
+ | | ||
+ | | ||
+ | | ||
+ | | ||
+ | | ||
+ | | ||
+ | | ||
+ | | ||
+ | | ||
+ | | ||
+ | | ||
+ | | ||
+ | | ||
+ | | ||
+ | |||
+ | |||
+ | | ||
+ | |||
+ | | ||
+ | # X-policyd-weight: | ||
+ | # DEFAULT: on | ||
+ | |||
+ | |||
+ | | ||
+ | # the weighted check didn't | ||
+ | # return any response (should never | ||
+ | # appear). | ||
+ | |||
+ | |||
+ | |||
+ | # | ||
+ | # Syslogging options for verbose mode and for fatal errors. | ||
+ | # NOTE: comment out the $syslog_socktype line if syslogging does not | ||
+ | # work on your system. | ||
+ | # | ||
+ | |||
+ | | ||
+ | |||
+ | | ||
+ | | ||
+ | | ||
+ | | ||
+ | |||
+ | |||
+ | # | ||
+ | # Process Options | ||
+ | # | ||
+ | | ||
+ | |||
+ | | ||
+ | # DEFAULT: empty, will be initialized as | ||
+ | # $USER | ||
+ | |||
+ | | ||
+ | | ||
+ | |||
+ | | ||
+ | # listens for policy requests from postfix | ||
+ | |||
+ | | ||
+ | # listen for requests. | ||
+ | # You may only list ONE IP here, if you want | ||
+ | # to listen on all IPs you need to say ' | ||
+ | # here. Default is ' | ||
+ | # You need to restart policyd-weight if you | ||
+ | # change this. | ||
+ | |||
+ | | ||
+ | # policyd-weight accepts | ||
+ | # Default: 1024 | ||
+ | |||
+ | |||
+ | | ||
+ | # it dies. | ||
+ | |||
+ | | ||
+ | </ | ||
+ | |||
+ | |||
+ | |||
+ | |||
+ | |||
+ | |||