[postfix-users] Entweder nur eigene Domain kann mailenoderopenRelay

Patrick Schroth patrick.schroth at transmit.de
Di Mai 4 11:00:21 CEST 2010 

Hi.

Die Abarbeitung der restrictions erfolgt hintereinander, d.h. bevor die restrictions in smtpd_recipient_restrictions abgearbeitet werden, kommen die smtpd_sender_restrictions dran. In deinem Setup dürfen in den sender-restrictions aber ausschließlich per SASL authentifizierte Benutzer senden und somit keiner der sich nicht anmeldet. Das möchtest du aber nicht, denke ich mal. Deshalb sollte meiner Meinung nach, ein permit am Ende der sender-restrictions stehen.
Erst bei den recipient-restrictions testet der Server, ob die Empfängeradresse zu dem Server gehört (reject_unauth_destination -> permit am Ende bzw. permit_auth_destination -> reject am Ende der restriction).

Bitte um Berichtigung, falls ich was falsches verzapft haben sollte.

mfg
Patrick






-----Ursprüngliche Nachricht-----
Von: postfix-users-bounces+patrick.schroth=transmit.de at de.postfix.org [mailto:postfix-users-bounces+patrick.schroth=transmit.de at de.postfix.org] Im Auftrag von Steve Guhr
Gesendet: Dienstag, 4. Mai 2010 10:38
An: Mailing-Liste der deutschsprachigen Postfix Gemeinschaft
Betreff: Re: [postfix-users] Entweder nur eigene Domain kann mailenoderopenRelay


On 04.05.2010, at 10:24, Uwe Driessen wrote:

> 
> 
> On Behalf Of Steve Guhr
>> Hier die postconf -n:
>> 
>> alias_database = hash:/etc/aliases
>> alias_maps = hash:/etc/aliases
>> append_dot_mydomain = no
>> biff = no
>> broken_sasl_auth_clients = yes
>> config_directory = /etc/postfix
>> inet_interfaces = all
>> inet_protocols = all
>> mailbox_size_limit = 0
>> mydestination =
>> myhostname = mail.domain.de
>> mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
>> myorigin = /etc/mailname
>> readme_directory = no
>> recipient_delimiter = +
>> relayhost =
>> smtp_tls_note_starttls_offer = yes
>> smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu)
>> smtpd_recipient_restrictions = reject_unauth_pipelining, permit_mynetworks,
>> permit_sasl_authenticated, reject_non_fqdn_recipient, reject_unauth_destination
>> smtpd_sasl_auth_enable = yes
>> smtpd_sasl_authenticated_header = yes
>> smtpd_sasl_local_domain =
>> smtpd_sasl_security_options = noanonymous
>> smtpd_sender_login_maps = mysql:/etc/postfix/mysql_sender_login_maps.cf
>> smtpd_sender_restrictions = permit_mynetworks, reject_sender_login_mismatch,
>> permit_sasl_authenticated, reject
> 
> Das sollst du rauswerfen und in smtpd_recipient_restrictions mit rein nehmen 

Also gar keine sender_restrictions ?!

> 
>> smtpd_tls_CAfile = /etc/postfix/ssl/demoCA/cacert.pem
>> smtpd_tls_cert_file = /etc/postfix/ssl/server-crt.pem
>> smtpd_tls_key_file = /etc/postfix/ssl/server-key.pem
>> smtpd_tls_loglevel = 1
>> smtpd_tls_received_header = yes
>> smtpd_tls_session_cache_timeout = 3600s
>> smtpd_use_tls = yes
>> tls_random_prng_update_period = 3600s
>> tls_random_source = dev:/dev/urandom
>> virtual_alias_maps = mysql:/etc/postfix/mysql_virtual_alias_maps.cf
>> virtual_gid_maps = static:5000
>> virtual_mailbox_base = /home/vmail
>> virtual_mailbox_domains = mysql:/etc/postfix/mysql_virtual_domains_maps.cf
>> virtual_mailbox_limit = 51200000
>> virtual_mailbox_maps = mysql:/etc/postfix/mysql_virtual_mailbox_maps.cf
>> virtual_minimum_uid = 5000
>> virtual_transport = virtual
>> virtual_uid_maps = static:5000
>> 
>> 
>> Das mit dem Oneway ist eben die Sache: der Server ist im Aufbau, insofern gibt es noch
>> keine Nutzer großartig, wir können innerhalb der Domain gegenseitig mailen
>> (uneingeschränkt), aber sobald eben etwas fremdes antworten möchte, knallts.
>> Rein von der Theorie sollte ich ja auch nur die Sender restrictions anpassen, weil darum
>> geht es mir ja, empfangen will ich erstmal alles ... aber der macht das nicht so, wie er
>> soll und wendet iwie auch sender restrictions für ankommende mails an ...
> 
> Er macht das aber genauso wie du es Ihm gesagt hast.
> Ist er fremd dann gelten die regeln nach dem permit_sasl zusätzlich 
> Mit dem reject nach dem permit kann nur senden wer sich angemeldet hat.
> 
> Leider drückst du dich etwas unklar aus was der Server wirklich tun soll.
> Soll er nur interne Mails von bekannten Usern zustellen und das auch nicht von extern
> drauf geantwortet werden kann dann stimmt deine Config.
> Solltest dann aber auch evtl. drauf achten das keine Mails an fremde geschickt werden
> können.

Er soll einfach alle Mails annehmen können und nur authorisierte User senden lassen ... :)

> 
> Willst du von von "fremden" Server Mails annehmen dann ist dein Setup entsprechend zu
> erweitern.
> 
> Auf Postfix.org gibt es verwendbare Anleitungen wie vorzugehen ist.
> 
> Das feintuning kommt dann danach.
> 
> Mit freundlichen Grüßen
> 
> Drießen
> 
> -- 
> Software & Computer
> Uwe Drießen
> Lembergstraße 33
> 67824 Feilbingert
> Tel.: +49 06708 / 660045   Fax: +49 06708 / 661397
> 
> 
> 
> _______________________________________________
> postfix-users mailing list
> postfix-users at de.postfix.org
> http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users

_______________________________________________
postfix-users mailing list
postfix-users at de.postfix.org
http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users

Mehr Informationen über die Mailingliste postfix-users