Firewall¶
Unter Firewall werden IP-basierte Zugriffsregeln für den SMTP-Dienst verwaltet. Diese Regeln wirken auf Netzwerk-Ebene (nftables) und greifen noch vor Postfix.
Regeltypen¶
| Typ | Beschreibung |
|---|---|
| Allow | IP/CIDR explizit erlauben (höchste Priorität) |
| Block | IP/CIDR permanent blockieren (SMTP-Verbindung sofort getrennt) |
| Rate-Limit | Verbindungsrate für IP/CIDR begrenzen |
Regeln anlegen¶
Über + Regel hinzufügen öffnet sich das Formular:
| Feld | Beschreibung |
|---|---|
| IP / CIDR | Einzelne IP (1.2.3.4) oder CIDR-Block (1.2.3.0/24) |
| Aktion | allow, block oder rate-limit |
| Port | SMTP-Port (25 oder 587 oder beide) |
| Kommentar | Optionale Beschreibung (z. B. Spammer-IP aus Abuse-Report) |
Verhalten¶
- Regeln werden sofort aktiv (kein Neustart erforderlich)
- Im Cluster werden Firewall-Regeln an alle Nodes repliziert
- Bei
block: Verbindung wird sofort getrennt, kein SMTP-Banner - Bei
allow: IP wird von Postscreen und Rate-Limiting ausgenommen
Empfehlungen¶
- Alle bekannten Spam-Quellen (Abuse-Reports, eigene Erfahrung) hier eintragen
- Interne Netze mit
alloweintragen, damit sie nie geblockt werden - Sehr breite CIDR-Blöcke (
/8,/16) nur nach sorgfältiger Prüfung verwenden
Eigene IP nicht sperren
Vor dem Eintragen eines Blocks prüfen, ob die eigene Management-IP oder das eigene Netz betroffen ist. Ein versehentlicher Block der eigenen IP sperrt den Zugang zur Management-Oberfläche.