[postfix-jp:03884] Re: Greylisting - check_policy_service

[Tomoyuki Sakurai <ml-postfix-jp@xxxxxxxxxxxxxxx>]

On Mon, 26 Jan 2004 22:34:39 +0900
Tomoyuki Sakurai <ml-postfix-jp@xxxxxxxxxxxxxxx> wrote:

| main.cfには次のような感じで。
| 
| |     db_dir = /path/to/database/dir
| |     smtpd_recipient_restrictions =
| |      ...
| |      reject_unauth_destination,
| |      check_client_access hash:$db_dir/local.whitelist.by.client.hash,
| |      chech_recipient_access hash:$db_dir/local.whitelist.by.recipient.hash,
| |      check_client_access hash:$db_dir/local.blacklist.hash,
| |      check_policy_service unix:private/policy,
| |      reject_rbl_client some.dnsbl.example.org,
| |      ...
| |      warn_if_reject,
| |      check_client_access pcre:$db_dir/warn.pcre,
| |      permit

もうひとつ。

check_*_accessで拒否する場合はREJECTではなく、4xxを返します。こうするこ
とにより仮に正当(legitimate)なMTAを拒否しても、ログを監視していれば救済
することができます(実際に救済するかどうかは別にして;)。これは
reject_rbl_clientにも言えます。

例
|     blocked using sbl.spamhaus.org (total: 760)
|           93   electronicemail.com  (colleen_hernandez@xxxxxxxxxxxxxxxxxxx)
|           92   buyersemail.com  (gia_thomas@xxxxxxxxxxxxxxx)
|           92   valueemail.com  (arika_morris@xxxxxxxxxxxxxx)
|           92   valueemail.com  (Aaliyah@xxxxxxxxxxxxxx)
|           75   tipmmail0.net  (OWNER-NOLIST@xxxxxxxxxx)

こいつらに5xx返したこともありましたが、全然効果はなかったです。どうせ再
接続してくるのなら、4xxでも同じです。特に壊れたspammerには何返しても同じ
ことですし。こうしたspammerにはパケットフィルタリングとかで遊んであげる
ことにしています(ipfw+dummynet)。

ただし、壊れたExchangeとかは別です。localのブラックリストで5xx返しましょ
う。素直にあきらめます(でも、翌日また来るのですが)。
--
Tomoyuki Sakurai - Tomi -
mailto:ml-postfix-jp@xxxxxxxxxxxxxxx
local dnsbl files updated daily at
rsync://trombik.mine.nu/spf/output/