Um EMails mit Postfix zu versenden, müssen ein paar Dinge beachtet werden. Diese sind entweder in den RFCs definiert oder generell sinnvoll.
1. reverse DNS muss passen
RFC 1912 verlangt, dass der PTR-Record und der A-Record im DNS zusammenpassen. Zum einen zeigt das, dass der Administrator die RFCs verstanden hat, zum anderen hilft es, Spam zu vermeiden.
Die Einträge gelten immer für die IP, die der Mailserver zum Senden verwendet. Das ist nur relevant, wenn der Server mehrere IP-Adressen hat oder wenn er hinter einer NAT-Firewall ist.
Bei Postfix kann entweder die IP durch smtp_bind_address
in der main.cf oder master.cf festgelegt werden oder durch inet_interfaces=
das entsprechende Interface verwendet werden.
Der rDNS-Eintrag kann z.B. hier online getestet werden. Das geht mit dig aber auch ohne weiteres:
$dig +short mail.schaal-24.de
78.46.101.89
$dig +short -x 78.46.101.89
mail.schaal-24.de.
Und für IPv6:
$dig +short AAAA mail.schaal-24.de
2a01:4f8:121:18b:1::3
$dig +short -x 2a01:4f8:121:18b:1::3
mail.schaal-24.de.
2. Der HELO-String muss zum rDNS passen
Wenn der rDNS-Eintrag stimmt, muss der Mailserver seinen Namen (myhostname
in der main.cf) im HELO oder EHLO-Kommando anzeigen.
Zum Testen reicht ein einfaches telnet auf Port 25:
$telnet mail.schaal-24.de 25
Trying 78.46.101.89...
Connected to mail.schaal-24.de.
Escape character is '^]'.
220 mail.schaal-24.de ESMTP Postfix (Debian/GNU)
quit
221 2.0.0 Bye
Connection closed by foreign host.
3. Keine Sender Address Verification
Auf den ersten Blick sieht eine Sender Address Verification recht sinnvoll aus. Es führt ein Connect zum Absender durchgeführt um festzustellen, ob dieser für den Absender Mails annehmen würde.
Gegen Spam bringt das nicht viel, da die meisten Spammer gültige Absenderadressen verwenden.
Bei Spammer die eine ungültige Absederadresse verwerden, kann bei der Sender Address Verification der Eindruck entstehen, als würde der eigene Mailserver versuchen, den Server des Absenders zu attackieren. Wenn uns z.B. ein Spammer 1.000 Mails schickt, dann würde unser Server beim Server des Absenders (Spammers) 1.000 mal die Adresse überprüfen. Solche Anfragen fallen garantiert in Angriffsmuster und lösen entsprechende Abwehrmassnahmen aus.