Postfix Antispam – Receiver

Grundlegend sollte ein MTA nur Mails für Domains annehmen, für die er auch zuständig ist und wenn es den entsprechenden Empfänger auch gibt.

In der main.cf des Postfix ist daher besonderes Augenmerk auf den Eintrag mydestination zu verwenden. Hier sollten wirklich nur die Domains aufgeführt werden, für die der MTA Mails akzeptieren soll.

mydestination = domain.de, anderedomain.de,...

Durch eine spezielles Regelset (rc_full) wird verhindert, dass Mails in das MTA-System gelangen, für die es keine Empfänger gibt. Dies ist elementar wichtig, wenn der Front-MX nur als Relay für dahinter liegende SMTP-Strukturen dient. In der rc_full werden für beteiligte Domains die validen Empfänger gelistet. Mails an andere als die definierten Empfänger werden mit einem USER UNKNOWN beantwortet. Im Detail gibt es dazu folgenden Eintrag in den smtpd_recipient_restrictions von /etc/postfix/main.cf: check_recipient_access hash:/etc/postfix/rc_full

Aber was enthält nun diese rc_full-Datei? Hier ein Auszug:

emaila@domain.de OK
emailb@domain.de OK
domain.de REJECT User unknown in domain.de
. OK

Mails an emaila und emailb werden über das OK akzeptiert. Alle anderen eMailempfänger für domain.de werden mit User unknown REJECTed. Der Eintrag mit dem Punkt sorgt dafür, dass Mails an nicht in der rc_full aufgeführte Domains akzeptiert werden – natürlich sind dafür nur die Domains in mydestination (siehe oben) gültig. Nach dem Editieren sorgt ein postmap rc_full für die Aktualisierung der Postfix-Datenbanken. Hier gibt es noch Optimierungsmöglichkeiten, in dem die Einträge zum Beispiel anhand der Nutzerdatenbank des nachgelagerten Exchange erstellt werden könnten.

Die ganze Zeile in der main.cf sieht so aus:

smtpd_recipient_restrictions = permit_mynetworks,reject_non_fqdn_recipient,reject_unauth_destination,check_recipient_access hash:/etc/postfix/rc_full

permit_mynetworks erlaubt allen Clients in den angeführten Netzwerken in mynetworks das Anliefern von Mails an den Mailserver zum Weiterversenden

mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 10.0.0.0/8 192.168.1.0/24

reject_non_fqdn_recipient verhindert, dass Mails an Empfänger ohne qualifizierten Domainnamen gesendet werden können.

reject_unauth_destination verwirft Mails an Empfänger, für die wir laut Konfiguration gar nicht zuständig sind.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

PS PHPCaptcha WP
PS PHPCaptcha for Wordpress