[SOLVED] Global eine .tld auf die Blacklist

DerNorden

Active Member
Jul 9, 2017
82
1
28
42
Hi,

ist es möglich eine TLD global auf die Blacklist zu setzen? Falls ja, wie?

Unter den einzelnen Benutzern ist es möglich. Global kann man wie ich gesehen habe eine Domain angeben. Dabei ist *.tld leider nicht möglich.
 

Stoiko Ivanov

Proxmox Staff Member
Staff member
May 2, 2018
6,862
1,039
164
Hallo,

Sollte sich mit Hilfe einer regular expression in der globalen blacklist (in der gui 'Mail Filter' -> 'Who Objects' -> 'Blacklist' -> 'Add' -> 'Regular Expression') machen lassen:
* '.*\.tld$' - sollte funktionieren (den punkt vor dem * beachten und den backslash auch)
Siehe auch punkt 5.5 des pmg-admin-guides: https://www.proxmox.com/images/download/pmg/docs/pmg-admin-guide.pdf

* Bitte nach dem Eintragen, die logs im Auge behalten und überprüfen ob es wie gewünscht funktioniert.
* Beachten Sie, dass das potentiell zu 'False Positives' führen kann (eine gesamte TLD betrifft recht viele User)

Hoffe das hilft mal weiter!
 

tom

Proxmox Staff Member
Staff member
Aug 29, 2006
15,522
908
163
Hi,

ist es möglich eine TLD global auf die Blacklist zu setzen? Falls ja, wie?

Unter den einzelnen Benutzern ist es möglich. Global kann man wie ich gesehen habe eine Domain angeben. Dabei ist *.tld leider nicht möglich.

Bei den WHO Objekten kann man schon ein komplette Domain dazunehmen.
EDIT: sorry, frage falsch gelesen, bitte post von Stoiko folgen.
 

DerNorden

Active Member
Jul 9, 2017
82
1
28
42
Sollte sich mit Hilfe einer regular expression in der globalen blacklist (in der gui 'Mail Filter' -> 'Who Objects' -> 'Blacklist' -> 'Add' -> 'Regular Expression') machen lassen:
* '.*\.tld$' - sollte funktionieren (den punkt vor dem * beachten und den backslash auch)

Super, das hat geklappt.

Beachten Sie, dass das potentiell zu 'False Positives' führen kann (eine gesamte TLD betrifft recht viele User)

Stimmt, eine gesamte TLD zu blocken ist keine feine Sache. Aber, in diesem Fall handelt es sich um die .icu TLD. Die meisten werden zwar aussortiert, aber trotzdem kommen auch noch viele durch. Gerade wenn die Domain frisch registriert ist. Normalerweise sollte solch eine Einstellung der User selbst für seine eigene Adresse tun.
 

heutger

Well-Known Member
Apr 25, 2018
845
238
48
Fulda, Hessen, Germany
www.heutger.net
@tom @Stoiko Ivanov Ich möchte mich diesem Thread in ähnlicher Sache anschließen und auch die .icu TLD blocken, aber ich möchte es nicht erst im Regelsystem (also im Content-Check) tun sondern bereits auf Postfix-Ebene (also im Pregreet-Check). Ich habe schon Anleitungen gefunden, wo man das manuell einstellen müsste und bin dann recht verwundert über ein ähnliches Setup gestolpert, nämlich smtpd_sender_restrictions = ... regexp:/etc/postfix/senderaccess und wenn ich mir die entsprechende Datei anschaue, ähnelt sie doch sehr der Anleitung unter https://www.davidmartinwhite.com/2016/10/25/fighting-spam-block-entire-ttld-with-postfix/, wobei statt pcre regex verwandt wird.

Jetzt stellt sich für mich die massive Frage: Man kann offensichtlich gemäß meinen Erkenntnissen wie oben Whitelist-Einträge pflegen, genau wie ich mir das für Blacklist-Einträge vorstelle, nur selbige kann man nicht pflegen? Gibt es hier eine Option? Ist eine Option angedacht? An sich wäre es ja das gleiche, nur statt OK eben REJECT. Wenn ich die Datei nun ändere und meine REJECTs eintrage, gehen diese vermutlich beim nächsten Update verloren, richtig?
 

Stoiko Ivanov

Proxmox Staff Member
Staff member
May 2, 2018
6,862
1,039
164
smtpd_sender_restrictions = ... regexp:/etc/postfix/senderaccess
zwar nicht selbst getestet - aber ich nehme an das sollte funktionieren.
Das problem ist dass '/etc/postfix/senderaccess' vom PMG stack verwendet und ueberschrieben wird.
Als workaround bietet sich an einen anderen Dateinamen zu verwenden:
Code:
smtpd_sender_restrictions =
        permit_mynetworks
        reject_non_fqdn_sender
        check_client_access     cidr:/etc/postfix/clientaccess
        check_sender_access     regexp:/etc/postfix/senderaccess
        check_sender_access     regexp:/etc/postfix/mysenderaccess
        check_recipient_access  regexp:/etc/postfix/rcptaccess

die Datei kann dann manuell gepflegt werden.
das einbauen in die main.cf funktioniert wie üblich über das templating system - https://pmg.proxmox.com/pmg-docs/pmg-admin-guide.html#_service_configuration_templates

Hoffe das beantwortet die Frage (bin mir nicht ganz sicher ob ich alles zu 100% verstanden habe)
 

heutger

Well-Known Member
Apr 25, 2018
845
238
48
Fulda, Hessen, Germany
www.heutger.net
zwar nicht selbst getestet - aber ich nehme an das sollte funktionieren.
Das problem ist dass '/etc/postfix/senderaccess' vom PMG stack verwendet und ueberschrieben wird.
Als workaround bietet sich an einen anderen Dateinamen zu verwenden:
Code:
smtpd_sender_restrictions =
        permit_mynetworks
        reject_non_fqdn_sender
        check_client_access     cidr:/etc/postfix/clientaccess
        check_sender_access     regexp:/etc/postfix/senderaccess
        check_sender_access     regexp:/etc/postfix/mysenderaccess
        check_recipient_access  regexp:/etc/postfix/rcptaccess

die Datei kann dann manuell gepflegt werden.
das einbauen in die main.cf funktioniert wie üblich über das templating system - https://pmg.proxmox.com/pmg-docs/pmg-admin-guide.html#_service_configuration_templates

Hoffe das beantwortet die Frage (bin mir nicht ganz sicher ob ich alles zu 100% verstanden habe)

@Stoiko Ivanov Perfekt, vielen Dank. Die Frage war auch, ob PMG das auch ohne Anpassung unterstützt oder ob das als Feature Request dann aufgenommen werden könnte, es ist ja eine Whitelist möglich, wieso dann keine Blacklist?

Und es scheint für die senderaccess eine db-Datei zu geben, als wurde wohl postmap ausgeführt, ist das denn überhaupt für diese Dateien notwendig? Ich dachte, postmap macht man nur für Hash-Tabellen?
 
Last edited:

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get your own in 60 seconds.

Buy now!