Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

postfix whitelist przed rbl

26 views
Skip to first unread message

Marcin Debowski

unread,
Mar 10, 2020, 7:11:55 AM3/10/20
to
Próbuję wpuszczać pocztę z paru ogólnych adresów zanim rbl się rozprawi
po ip. Mam w main.cf tak:

smtpd_recipient_restrictions =
check_client_access hash:/etc/postfix/access_sender
permit_sasl_authenticated,
permit_mynetworks,
reject_unauth_destination,
reject_rbl_client zen.spamhaus.org,
reject_rbl_client bl.spamcop.net,
reject_rbl_client dnsbl.sorbs.net,
reject_rbl_client spam.dnsbl.sorbs.net

A w /etc/postfix/access_sender
gmail.com OK
mail.com OK
wp.pl OK

Zrobiłem też
postmap /etc/postfix/access_sender

No i nadal odrzuca gmaila (na nim narazie sprawdzam). Co źle robie?

Poboczny temat, nie widzę zwrotek reject pod gmailem. Gmail tego nie
komunikuje?

--
Marcin

Lemat

unread,
Mar 10, 2020, 7:41:54 AM3/10/20
to
W dniu 10.03.2020 o 12:11, Marcin Debowski pisze:
check_client_access to nie są domeny nadawców tylko reverse DNSy, poczta
z gmail.com pochodzi z takich revDNSów:

Mar 10 12:40:08 detrytus postfix/smtpd[9493]: connect from
mail-wr1-f43.google.com[209.85.221.43]

--
Pozdrawiam
Lemat

KIKI

unread,
Mar 10, 2020, 2:24:52 PM3/10/20
to
On 10.03.2020 12:11, Marcin Debowski wrote:
> Próbuję wpuszczać pocztę z paru ogólnych adresów zanim rbl się rozprawi
> po ip. Mam w main.cf tak:

Może ja ci odpowiem, bo te złośliwce będą drażnić tylko :-)

Robisz tak:


smtpd_client_restrictions =
permit_mynetworks,
...
check_client_access hash:/etc/postfix/rbl_override, <-----------

Ja sobie to nazywam rbl_override i ma być w cliencie

Gmaila blokuje SORBS ale SORBS jest bardzo skuteczny więc trzeba uważać

Marcin Debowski

unread,
Mar 10, 2020, 10:14:02 PM3/10/20
to
Dzięki :) Na razie zostałem przy smtpd_recipient_restrictions i po
prostu dałem google.com i gmx.com zamiast odpowiednio gmail.com i
mail.com, ale zrobię z smtpd_client_restrictions bo powinno być bardziej
przewidywalne.

--
Marcin

Marcin Debowski

unread,
Sep 2, 2021, 10:43:37 PM9/2/21
to
On 2020-03-10, KIKI <hf...@ueur.dl> wrote:
> On 10.03.2020 12:11, Marcin Debowski wrote:
>> Próbuję wpuszczać pocztę z paru ogólnych adresów zanim rbl się rozprawi
>> po ip. Mam w main.cf tak:
>
> Może ja ci odpowiem, bo te złośliwce będą drażnić tylko :-)
>
> Robisz tak:
>
>
> smtpd_client_restrictions =
> permit_mynetworks,
> ...
> check_client_access hash:/etc/postfix/rbl_override, <-----------
>
> Ja sobie to nazywam rbl_override i ma być w cliencie

No więc w końcu też to dałem ale wyłapuje mi za dużo.

smtpd_recipient_restrictions =
check_client_access hash:/etc/postfix/access_sender
permit_sasl_authenticated,
permit_mynetworks,
reject_unauth_destination,
check_client_access hash:/etc/postfix/rbl_override,
reject_rbl_client zen.spamhaus.org,
reject_rbl_client bl.spamcop.net,
reject_rbl_client dnsbl.sorbs.net,
reject_rbl_client spam.dnsbl.sorbs.net

Nie mogę ani wyszukać ani rokminić formatu tego pliku rbl_override

Mam tak:
/etc/postfix/rbl_override
@interia.pl OK
interia.pl OK
@orange.pl OK
orange.pl OK
poczta.interia.pl OK
smtpo.poczta.interia.pl OK
wp.pl OK
@wp.pl OK

Nadal odrzuca mi niektóre mejle z interii mimo, że nadchodzą z
smtpo.poczta.interia.pl. Widzę po logach, że sprawdzanie idzie po IP a
smtpo.poczta.interia.pl miewa IP różne. Jak to zrobić, żeby szło po
nazwie?

--
Marcin

Lemat

unread,
Sep 3, 2021, 2:44:57 AM9/3/21
to
W dniu 03.09.2021 o 04:43, Marcin Debowski pisze:
check_CLIENT_access wyszukuje w pliku CLIENTA czyli albo adres IP albo
revDNS,


check_SENDER_access wyszukuje w pliku SENDERA - czyli adres email.

zastanów się, co bardziej pasuje do twojego pliku.
--
Pozdrawiam
Lemat

Marcin Debowski

unread,
Sep 3, 2021, 4:34:22 AM9/3/21
to
Dzięki za podpowiedź.
Widzę też, że mam bezsensowną podwójną deklarację. Zaraz pozmieniam.

--
Marcin

KIKI

unread,
Sep 3, 2021, 1:20:10 PM9/3/21
to
On 03.09.2021 04:43, Marcin Debowski wrote:

> smtpd_recipient_restrictions =
> check_client_access hash:/etc/postfix/access_sender
> permit_sasl_authenticated,
> permit_mynetworks,
> reject_unauth_destination,
> check_client_access hash:/etc/postfix/rbl_override,
> reject_rbl_client zen.spamhaus.org,
> reject_rbl_client bl.spamcop.net,
> reject_rbl_client dnsbl.sorbs.net,
> reject_rbl_client spam.dnsbl.sorbs.net

Ostatnio zrezygnowałem z zagranicznych RBL-i, bo coś dzieje się
niedobrego, tak jakby całą Polskę tam listowano albo całe google czy
całe portale wp/onet/o2. W sumie to się nie dziwię.

Teraz zrób tak:

smtpd_client_restrictions =
permit_mynetworks,
permit_sasl_authenticated,
reject_unauth_pipelining,
reject_unknown_client_hostname,
reject_unknown_reverse_client_hostname,
check_helo_access hash:/etc/postfix/access_helo,
check_client_access hash:/etc/postfix/rbl_override,
permit_dnswl_client ip4.white.polspam.pl,
check_sender_access hash:/etc/postfix/sender_access,
### POLSPAM.PL ###
reject_rhsbl_sender rhsbl-danger.rbl.polspam.pl,
reject_rhsbl_reverse_client rhsbl-danger.rbl.polspam.pl,
reject_rhsbl_client rhsbl-danger.rbl.polspam.pl,
reject_rhsbl_sender rhsbl.rbl.polspam.pl,
reject_rhsbl_reverse_client rhsbl.rbl.polspam.pl,
reject_rhsbl_client rhsbl.rbl.polspam.pl,
reject_rbl_client bl.rbl.polspam.pl,
reject_rbl_client bl-h5.rbl.polspam.pl,
###
### reject_rbl_client zen.spamhaus.org,
### reject_rbl_client bl.spamcop.net,
### reject_rbl_client cbl.abuseat.org,
### reject_rbl_client dnsbl.sorbs.net,
### reject_rhsbl_sender rhsbl-h.rbl.polspam.pl,
### reject_rhsbl_reverse_client rhsbl-h.rbl.polspam.pl,
### reject_rbl_client bl-h1.rbl.polspam.pl,
### reject_rhsbl_client rhsbl-h.rbl.polspam.pl,
permit

Marcin Debowski

unread,
Sep 4, 2021, 3:47:24 AM9/4/21
to
On 2021-09-03, KIKI <ye...@pemfuh.uu> wrote:
> On 03.09.2021 04:43, Marcin Debowski wrote:
>
>> smtpd_recipient_restrictions =
>> check_client_access hash:/etc/postfix/access_sender
>> permit_sasl_authenticated,
>> permit_mynetworks,
>> reject_unauth_destination,
>> check_client_access hash:/etc/postfix/rbl_override,
>> reject_rbl_client zen.spamhaus.org,
>> reject_rbl_client bl.spamcop.net,
>> reject_rbl_client dnsbl.sorbs.net,
>> reject_rbl_client spam.dnsbl.sorbs.net
>
> Ostatnio zrezygnowałem z zagranicznych RBL-i, bo coś dzieje się
> niedobrego, tak jakby całą Polskę tam listowano albo całe google czy
> całe portale wp/onet/o2. W sumie to się nie dziwię.
>
> Teraz zrób tak:
>
> smtpd_client_restrictions =
> permit_mynetworks,
> permit_sasl_authenticated,
> reject_unauth_pipelining,
> reject_unknown_client_hostname,
> reject_unknown_reverse_client_hostname,

Te dwa powyższe są bezpieczne? W sensie, nie robią jakiegoś dużego spustoszenia?

> check_helo_access hash:/etc/postfix/access_helo,

Co to robi w sensie czysto praktycznym?

> check_client_access hash:/etc/postfix/rbl_override,
> permit_dnswl_client ip4.white.polspam.pl,
> check_sender_access hash:/etc/postfix/sender_access,
> ### POLSPAM.PL ###
> reject_rhsbl_sender rhsbl-danger.rbl.polspam.pl,
> reject_rhsbl_reverse_client rhsbl-danger.rbl.polspam.pl,
> reject_rhsbl_client rhsbl-danger.rbl.polspam.pl,
> reject_rhsbl_sender rhsbl.rbl.polspam.pl,
> reject_rhsbl_reverse_client rhsbl.rbl.polspam.pl,
> reject_rhsbl_client rhsbl.rbl.polspam.pl,
> reject_rbl_client bl.rbl.polspam.pl,
> reject_rbl_client bl-h5.rbl.polspam.pl,
> permit

To permit na końcu jest potrzebne? Nie mam tego u siebie.

Dzięki!

--
Marcin

Lemat

unread,
Sep 4, 2021, 5:31:07 AM9/4/21
to
W dniu 04.09.2021 o 09:47, Marcin Debowski pisze:
Gdyby tylko ktoś miał stronę www, na której to wszystko jest opisane po
polsku... a nie, czekaj...

--
Pozdrawiam
Lemat

Marcin Debowski

unread,
Sep 4, 2021, 6:15:38 AM9/4/21
to
Te strony, do których mnie odsyłasz mają jakieś statystyki odrzuceń np.
po revDNS czy braku nazwy skojarzonej z IP? A przy check_helo_access też
jest tam opisane jakie są tego praktyczne konsekwencje? "A client can
simply skip check_helo_access by not sending HELO or EHLO)." Co to
oznacza w PRAKTYCE (użyłem pochodnego słówka). Rozumiem, że część nie
wysyła. Jakie są tego konsekwencje? Jest to jakieś zagrożenie? Wal
śmiało linkiem, może być po angielsku.

--
Marcin

Lemat

unread,
Sep 4, 2021, 7:37:37 AM9/4/21
to
W dniu 04.09.2021 o 12:15, Marcin Debowski pisze:
ok, nie złapałeś żartu...
odsyłam Cię do konkretnej strony:
http://www.lemat.priv.pl/index.php?m=page&pg_id=90

ad1) revDNS - polecam ustawić, w polskich warunkach sprawdza się przy
minimalnych false-positive wynikających z błędów ludzkich, revDNS zaczął
być wymagany przez dużych graczy i wszyscy wtedy się jakoś nauczyli
poprawnie go konfigurować,

ad2) opis check_helo_access, co i gdzie - tak,

ad3) konsekwencje braku EHLO - żaden szanujący się MTA nie pomija etapu
HELO/EHLO

--
Pozdrawiam
Lemat

Marcin Debowski

unread,
Sep 4, 2021, 7:43:45 AM9/4/21
to
Dzieki. Z chęcią przeczytam.

--
Marcin

Marcin Debowski

unread,
Sep 7, 2021, 3:44:06 AM9/7/21
to
Dla polskiego rbl'a, da się gdzieś zmienić ten komunikat:
Before you send SPAM,read first:District Court Warsaw
sig.IC3136/17:justification of the judgment:Even a single SPAM
message causes violation of personal rights!

--
Marcin

Lemat

unread,
Sep 7, 2021, 6:32:22 AM9/7/21
to
W dniu 07.09.2021 o 09:44, Marcin Debowski pisze:
default_rbl_reply
--
Pozdrawiam
Lemat

KIKI

unread,
Sep 7, 2021, 6:47:56 AM9/7/21
to
I jak bije spamerów?

KIKI

unread,
Sep 7, 2021, 7:11:07 AM9/7/21
to
On 04.09.2021 09:47, Marcin Debowski wrote:

>> check_helo_access hash:/etc/postfix/access_helo,
>
> Co to robi w sensie czysto praktycznym?

Wpisujesz tam swoje adresy IP, swoje domeny i localhosta, banujesz sam
siebie żeby ci nie wysyłali od ciebie do ciebie w nagłówku.

Marcin Debowski

unread,
Sep 17, 2021, 3:00:53 AM9/17/21
to
Dzięki. Właśnie znalazłem chwilkę czasu aby to rozpracować. Wszystko
ładnie działa.

--
Marcin

Marcin Debowski

unread,
Sep 17, 2021, 3:05:27 AM9/17/21
to
Jo :) I to trochę za mocno. To stoi na serwerze dla firmy więc niestety
czasami nie ma wyboru i z pewnych adresów trzeba pocztę łykać. Ostatnie
2 tyg. białolistuję na potęgę, bo przestały dochodzić faktury i mejle od
starych klientów.

Zmieniłem komunikat na nieco bardziej stonowany, bo w wielu przypadkach
odbija bogu ducha winnym ludziom, tylko dlatego, że mają nieszczęście
korzystać z tego samego serwera co spamerzy.

--
Marcin

Marcin Debowski

unread,
Sep 17, 2021, 3:43:40 AM9/17/21
to
On 2021-09-03, Lemat <#@lemat.priv.pl> wrote:
Jednak jeszcze jedna rzecz mi nie działa:
check_sender_access hash:/etc/postfix/rbl_override.sender,

powód jest taki, że jest to pod smtpd_client_restrictions?

Ale teraz, jeśli utworzę:
smtpd_sender_restrictions =
check_sender_access hash:/etc/postfix/rbl_override.sender,
permit

i tam to wrzuce to nadal nie działa.

--
Marcin

KIKI

unread,
Sep 17, 2021, 4:44:39 AM9/17/21
to
On 17.09.2021 09:05, Marcin Debowski wrote:

>> I jak bije spamerów?
>
> Jo :) I to trochę za mocno. To stoi na serwerze dla firmy więc niestety
> czasami nie ma wyboru i z pewnych adresów trzeba pocztę łykać. Ostatnie
> 2 tyg. białolistuję na potęgę, bo przestały dochodzić faktury i mejle od
> starych klientów.
>
> Zmieniłem komunikat na nieco bardziej stonowany, bo w wielu przypadkach
> odbija bogu ducha winnym ludziom, tylko dlatego, że mają nieszczęście
> korzystać z tego samego serwera co spamerzy.
>

No niestety ale jak zrobisz whitelistę albo jakoś rozdzielisz co się bl.
a co rhsbl. i będziesz inaczej traktował to jakoś sam wypośrodkujesz
własne potrzeby.
Każdy decyduje sam ale wzorowo bije cały spam branży fintech.
0 new messages