PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Mail Proxy einrichten



jpk
15.01.07, 13:33
Hallo an alle,

ich möchte gern einen MailProxy einrichten, der folgende Funktionen mit sich bringt:

- eMail Annahme
- prüfen, ob es sich um eine SpamMail handelt
- prüfen ob Windowsviren, etc... enthalten sind
- ausschliessen von Extensions

Der Proxy steht in einer DMZ, nimmt die Mail auf 25 an und prüft ob alles in Ordnung ist. Wenn alles in Ordnung ist - soll der Server die original Mail an den internen MTA normal via SMTP weiterleiten, wenn die Mail nicht in Ordnung ist -> soll er sie löschen!

Dazu habe ich mir folgendes angeschaut http://www.postfix-howto.de/index.htm

Problem dabei ist, Procmail kann nur lokal ausliefern <-- richtig?!? Wie könnte ich Procmail beibringen es via SMTP an einen internen Server weiterzuleiten?!?

Vielleicht hat ja jemand auch eine schlankere Idee wie man soetwas umsetzen kann?!?

Bin für Hinweis und Link dankbar.

Gruß
jpk

[WCM]Manx
15.01.07, 13:41
Hi!

zu berücksichtigen wäre:

Dein gewünschter Mailproxy MUSS auf das Vorhandensein der User-Mailboxen prüfen (RCPT-Check) und DARF NICHT alles @deine_domain annehmen.

D.h Du brauchst eine gemeinsam nutzbare User-Datenbank (z.B LDAP, MySQL) für beide Mailserver.

Grüße

Manx

jpk
15.01.07, 13:50
Hi Manx,


Manx;1485381']Hi!

zu berücksichtigen wäre:

Dein gewünschter Mailproxy MUSS auf das Vorhandensein der User-Mailboxen prüfen (RCPT-Check) und DARF NICHT alles @deine_domain annehmen.

D.h Du brauchst eine gemeinsam nutzbare User-Datenbank (z.B LDAP, MySQL) für beide Mailserver.

Grüße

Manx

ja die User werden in der Mysql DB eingetragen. Wie der Update von statten geht, habe ich mir noch keine genaueren Gedanken gemacht. Ich glaube aber, dass ich das ADS nächtlich auslesen und den Proxy aktualisieren werden - oder ich werde den internen MTA fragen - dort liegen ja alle User, etc....

Problem besteht weiterhin - wie ich die orginal Mail mit Anhang, etc.. an den internen MTA weiterleite?!?

Gruß jpk

tschloss
15.01.07, 13:54
Manx;1485381']Hi!


D.h Du brauchst eine gemeinsam nutzbare User-Datenbank (z.B LDAP, MySQL) für beide Mailserver.

Grüße

Manx

Ist das so?
Meiner Ansicht nach ein normales (Spam filterndes) internes Mail-Gateway, welches halt nicht für die Ziel-Domain zuständig ist. Mit den Parametern relay_domains und transport_maps kann man die Verarbeitung sogar granularer steuern als mit relayhost.

Das ist in den beiden O`Reilly Büchern "Postfix" (Gateway) und "Spamassassin" (spamfilterndes Gateway) beschrieben.

[WCM]Manx
15.01.07, 14:04
Ist das so?



IMHO ja, denn folgendes passiert sonst (zu häufig)

z.B Senden einige virenverseuchte Windowsrechner tausende Mails an Benutzer die's bei Dir nicht gibt (von anna@deine_domain bis zwutschgerl@deine_domain).
Der MX in der DMZ nimmt die an, obwohl er es nicht müsste/sollte und sich die Rechenzeit für Spam/Virenprüfung sparen könnte.

Werden solche Mails an den internen MX durchgereicht, bounced der diese.
Die Absender gibt's oft nicht, bzw. sind sie gefälscht.
In der Folge hast Du viele viele Double-Bounces im Postmaster-Postfach bzw belästigst unschuldige Dritte ;).

Grüße

Manx

jpk
15.01.07, 14:17
Manx;1485395']
Der MX in der DMZ nimmt die an, obwohl er es nicht müsste/sollte und sich die Rechenzeit für Spam/Virenprüfung sparen könnte.


ja genau das wird er machen - er wird/ soll sie nicht annehmen - sondern einfach löschen! Auch keinen informieren!



Werden solche Mails an den internen MX durchgereicht, bounced der diese.


ja soll er!

gruß jpk

swen1
15.01.07, 14:19
Manx;1485395']
Werden solche Mails an den internen MX durchgereicht, bounced der diese.
Die Absender gibt's oft nicht, bzw. sind sie gefälscht.
In der Folge hast Du viele viele Double-Bounces im Postmaster-Postfach bzw belästigst unschuldige Dritte ;).

Grüße

Manx

Im Prinzip hast Du Recht, aber ist das nicht immer so? Ob es das Postfach gibt, weiss doch am Ende erst der Mailserver (also bei mir z.B. Cyrus) nicht der MTA (Postfix), also müssen die Mails doch immer erst durch den Viren und Spamfilter und man beläßtigt doch immer die unschuldigen Absender, oder???

Bei uns sollte es in der DMZ grundsätzlich keine Userinformationen geben.

Ich leite die Mails ohne Procmail per Postfix transport zum internen Mailserver weiter. Das klappt seit Jahren einwandfrei. Spam Viren und Anhänge werden über amavisd-new geprüft.

Gruß Swen

[WCM]Manx
15.01.07, 14:59
ja genau das wird er machen - er wird/ soll sie nicht annehmen - sondern einfach löschen! Auch keinen informieren
... das kannst Du ja halten, wie Du möchtest, bzw. wie's in der Firmenpolicy festgelegt/mit den Usern vereinbart ist.

Löschen würd ich persönlich nicht, denn:

SMTP ist so ausgelegt, dass keine Mails verloren gehen.
Wird eine Mail nicht angenommen (weil der Sender z.B jmdn. eine *.exe schicken möchte) sollte der Sender (der sendende Mailserver) auch informiert werden.
Am besten noch im SMTP-Dialog, vorm Annehmen der Mail (250 ok)
Gleiches gilt für Fehlermeldungen (z.B User over Quota).
Virenmail's kann man ja in Quarantäne stecken (niemanden benachrichtigen) und Spam in einen Spam-Ordner verschieben, so bist Du mit false-positives auch auf der sicheren Seite.

Werden Mails kommentarlos gelöscht, funktioniert das System nicht mehr richtig.

@swen1

Der ursprüngliche Gedanke vom SMTP war genau dieser, "accept => bounce later".
Es muss jeder für sich entscheiden, wie's für ihn am besten funktioniert.

Wenn Dich ein oben beschriebenes Szenario mal erwischt, und Dein Mailserver nicht allzugroße Leistungsreserven hat, endet's halt oft in einer Art DoS.

Grüße

Manx

jpk
15.01.07, 15:23
Manx;1485417']... das kannst Du ja halten, wie Du möchtest, bzw. wie's in der Firmenpolicy festgelegt/mit den Usern vereinbart ist.


... da muss ich mal in die Vereinbarung schauen ..... ;)



Löschen würd ich persönlich nicht, denn:

SMTP ist so ausgelegt, dass keine Mails verloren gehen.
Wird eine Mail nicht angenommen (weil der Sender z.B jmdn. eine *.exe schicken möchte) sollte der Sender (der sendende Mailserver) auch informiert werden.
Am besten noch im SMTP-Dialog, vorm Annehmen der Mail (250 ok)
Gleiches gilt für Fehlermeldungen (z.B User over Quota).
Virenmail's kann man ja in Quarantäne stecken (niemanden benachrichtigen) und Spam in einen Spam-Ordner verschieben, so bist Du mit false-positives auch auf der sicheren Seite.

Werden Mails kommentarlos gelöscht, funktioniert das System nicht mehr richtig.


... wie gesagt mal schauen wie ich das am beste löse .... ich denke aber, dass ich generell - so wie ich das hier mit bekomme auf dem richtigen weg bin!

nehme jetzt folgendes:
um es hier nicht zu posten, hier der Link (http://www.postfix-howto.de/installation/index.htm).

Ich bringe Sendmail bei die Mail an den internen MTA auszuliefern - wie das weiss ich auch noch nicht ..... aber ich bin guter Dinge!!! Wenn nicht frage ich noch mal ........ bei den Experten nach! :)

Vorerst Danke an euch!
Gruß aus Hamburg
Jpk