PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : postfix check_client_access filter unnützer NOQUEUE Log-Eintrag



chris_h
10.12.07, 13:29
Hi all,

habe ein postfix mit clamsmtp im Einsatz. Die Mails von nicht vertrauenswürdigen Hosts werden clamsmtp zugeführt.


smtpd_recipient_restrictions =
# Die White- Blacklist erstellen
check_client_access hash:/etc/postfix/client_access,
cidr:/etc/postfix/client_access_cidr
...
permit_mynetworks
check_client_access regexp:/etc/postfix/filter_access
...
permit

Jetzt schreibt postfix jedoch eine NOQUEUE Meldung in das log:


Dec 10 13:13:51 loewe postfix/smtpd[31827]: NOQUEUE: filter: RCPT from maus[192.168.101.152]: <maus[192.168.101.152]>: Client host triggers FILTER scan:[127.0.0.1]:10025; from=<chris@maus.site> to=<chris@loewe.site> proto=ESMTP helo=<maus.site>
...
Dec 10 13:13:51 loewe postfix/qmgr[26395]: 8AB5C280A9: from=<chris@maus.site>, size=792, nrcpt=1 (queue active)
Dec 10 13:13:51 loewe clamsmtpd: 10000F: from=chris@maus.site, to=chris@loewe.site, status=CLEAN
...


Das finde ich irreführend, da die Mail ja angenommen wird. Aber das check_client_access bedingt scheits das NOQUEUE.
Beim Virenscan trusting & nontrusting Mail
content_filter = scan:[127.0.0.1]:10025
wird keine NOQUEUE Meldung erzeugt.

Gibt es eine Möglichkeit, dass die NOQUEUE mit aufgrund der Wahl der Restrictions zu unterbinden?

Danke,
Chris

403
12.12.07, 08:24
Ich wuerde eine Ausnahme fuer maus.site definieren anhand dieses Dokuments
http://www.postfix.org/RESTRICTION_CLASS_README.html

Das geht vermutlich noch einfacher.

Gruss 403 *Kaffeekoch*

chris_h
12.12.07, 09:08
Ja das wäre eine Idee, aber ist bei dem Real-World Mailserver nicht sinnvoll. Hier erzeugt jede Verbindung von einem untrusted Host solch eine Meldung. Das Problem ist, dass ja die NOQUEUE Ausgabe bei _jeder_ Verbindung entsteht, bevor noch die Aussage über die entgültige Annahme gemacht ist.

Chris

403
12.12.07, 09:50
Ich habe leider grad keinen Zugrrriff auf Postfix. Sonst frag dochmal auf der postfix[buch|users] Mailingliste nach.

Gruss 403

Spekulatius: hast du da irgendwo warn_if_reject drin? Es hat sicher wenig Sinn das Loglevel herunterzusetzen?!

chris_h
12.12.07, 11:44
Ich habe mit syslog-ng eine temporäre Lösung um die vielen Einträge zu unterbinden:
Der Filter von syslog wird einfach per match erweitert, so dass das Muster ausgefiltert wird. Zur Sicherheit werden Zeilen, die auf das Muster zutreffen in eine eigene Datei geloggt und dann per logrotate gelöscht.

filter f_syslog { not facility(auth, authpriv) and not match("NOQUEUE: filter: RCPT from"); };

chris