[postfix-users] Entweder nur eigene DomainkannmailenoderopenRelay
Patrick Schroth
patrick.schroth at transmit.de
Di Mai 4 11:48:35 CEST 2010
Ich denke, du musst dir über eines klar werden: es werden IMMER sender-restrictions und recipient-restrictions abgearbeitet, egal ob einer deiner User nach außen senden möchte oder ob irgendjemand von außen eine Adresse auf deinem Server erreichen möchte.
Mach es dir erst mal etwas einfacher, indem du nur recipient-restrictions setzt. Keine Angst, mit reject_unauth_destination verhinderst du im Prinzip schon ein offenes Relay (natürlich muss permit hinter reject_unauth_destination stehen ;o)), sofern mydestination und Konsorten entsprechend gesetzt sind. So erlaubst du zwar erst mal alles im "MAIL FROM"-Kommando, aber im "RCPT TO"-Kommando greifen dann die Beschränkungen aus smtpd_recipient_restrictions...
Bsp.:
mydestination = mydomain.tld
smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_unauth_destination, permit
-----Ursprüngliche Nachricht-----
Von: postfix-users-bounces+patrick.schroth=transmit.de at de.postfix.org [mailto:postfix-users-bounces+patrick.schroth=transmit.de at de.postfix.org] Im Auftrag von Steve Guhr
Gesendet: Dienstag, 4. Mai 2010 11:21
An: Mailing-Liste der deutschsprachigen Postfix Gemeinschaft
Betreff: Re: [postfix-users] Entweder nur eigene DomainkannmailenoderopenRelay
Wäre demnach ein "permit_sasl_auhenticated" unter den sender_restrictions auch, wenn jmd mir eine mail senden möchte ? Oo
Wie müssten die rec. und send. restrictions denn aussehen, wenn ich als admin at domain.de senden möchte und von jedem empfangen will, aber niemand ohne login über meinen server senden kann ?!
On 04.05.2010, at 11:15, Patrick Schroth wrote:
>>>> Doch es sollen eben nur die SENDEN dürfen, die zu dem Server gehören, bzw, sich authorisieren können. EMPFANGEN werden soll aber alles, also meine >>> Meinung nach rein logisch volle sender_restrictions und KEINE recipient_restrictions, aber das funktioniert iwie nicht .... -.-
>
> Und somit sollen doch auch diejenigen über deinen Server senden dürfen, die eine Adresse auf deinem Server erreichen möchten oder etwa nicht?? So wie deine sender-restrictions stehen, müsstest du der ganzen Welt deine Login-Daten geben, damit diese eine Adresse auf deinem Server erreichen kann.
>
>
>
> -----Ursprüngliche Nachricht-----
> Von: postfix-users-bounces+patrick.schroth=transmit.de at de.postfix.org [mailto:postfix-users-bounces+patrick.schroth=transmit.de at de.postfix.org] Im Auftrag von Steve Guhr
> Gesendet: Dienstag, 4. Mai 2010 11:05
> An: Mailing-Liste der deutschsprachigen Postfix Gemeinschaft
> Betreff: Re: [postfix-users] Entweder nur eigene Domain kannmailenoderopenRelay
>
>
> On 04.05.2010, at 11:00, Patrick Schroth wrote:
>
>> Hi.
>>
>> Die Abarbeitung der restrictions erfolgt hintereinander, d.h. bevor die restrictions in smtpd_recipient_restrictions abgearbeitet werden, kommen die smtpd_sender_restrictions dran. In deinem Setup dürfen in den sender-restrictions aber ausschließlich per SASL authentifizierte Benutzer senden und somit keiner der sich nicht anmeldet. Das möchtest du aber nicht,
>
> Doch es sollen eben nur die SENDEN dürfen, die zu dem Server gehören, bzw, sich authorisieren können. EMPFANGEN werden soll aber alles, also meine Meinung nach rein logisch volle sender_restrictions und KEINE recipient_restrictions, aber das funktioniert iwie nicht .... -.-
>
>> denke ich mal. Deshalb sollte meiner Meinung nach, ein permit am Ende der sender-restrictions stehen.
>> Erst bei den recipient-restrictions testet der Server, ob die Empfängeradresse zu dem Server gehört (reject_unauth_destination -> permit am Ende bzw. permit_auth_destination -> reject am Ende der restriction).
>>
>> Bitte um Berichtigung, falls ich was falsches verzapft haben sollte.
>>
>> mfg
>> Patrick
>>
>>
>>
>>
>>
>>
>> -----Ursprüngliche Nachricht-----
>> Von: postfix-users-bounces+patrick.schroth=transmit.de at de.postfix.org [mailto:postfix-users-bounces+patrick.schroth=transmit.de at de.postfix.org] Im Auftrag von Steve Guhr
>> Gesendet: Dienstag, 4. Mai 2010 10:38
>> An: Mailing-Liste der deutschsprachigen Postfix Gemeinschaft
>> Betreff: Re: [postfix-users] Entweder nur eigene Domain kann mailenoderopenRelay
>>
>>
>> On 04.05.2010, at 10:24, Uwe Driessen wrote:
>>
>>>
>>>
>>> On Behalf Of Steve Guhr
>>>> Hier die postconf -n:
>>>>
>>>> alias_database = hash:/etc/aliases
>>>> alias_maps = hash:/etc/aliases
>>>> append_dot_mydomain = no
>>>> biff = no
>>>> broken_sasl_auth_clients = yes
>>>> config_directory = /etc/postfix
>>>> inet_interfaces = all
>>>> inet_protocols = all
>>>> mailbox_size_limit = 0
>>>> mydestination =
>>>> myhostname = mail.domain.de
>>>> mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
>>>> myorigin = /etc/mailname
>>>> readme_directory = no
>>>> recipient_delimiter = +
>>>> relayhost =
>>>> smtp_tls_note_starttls_offer = yes
>>>> smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu)
>>>> smtpd_recipient_restrictions = reject_unauth_pipelining, permit_mynetworks,
>>>> permit_sasl_authenticated, reject_non_fqdn_recipient, reject_unauth_destination
>>>> smtpd_sasl_auth_enable = yes
>>>> smtpd_sasl_authenticated_header = yes
>>>> smtpd_sasl_local_domain =
>>>> smtpd_sasl_security_options = noanonymous
>>>> smtpd_sender_login_maps = mysql:/etc/postfix/mysql_sender_login_maps.cf
>>>> smtpd_sender_restrictions = permit_mynetworks, reject_sender_login_mismatch,
>>>> permit_sasl_authenticated, reject
>>>
>>> Das sollst du rauswerfen und in smtpd_recipient_restrictions mit rein nehmen
>>
>> Also gar keine sender_restrictions ?!
>>
>>>
>>>> smtpd_tls_CAfile = /etc/postfix/ssl/demoCA/cacert.pem
>>>> smtpd_tls_cert_file = /etc/postfix/ssl/server-crt.pem
>>>> smtpd_tls_key_file = /etc/postfix/ssl/server-key.pem
>>>> smtpd_tls_loglevel = 1
>>>> smtpd_tls_received_header = yes
>>>> smtpd_tls_session_cache_timeout = 3600s
>>>> smtpd_use_tls = yes
>>>> tls_random_prng_update_period = 3600s
>>>> tls_random_source = dev:/dev/urandom
>>>> virtual_alias_maps = mysql:/etc/postfix/mysql_virtual_alias_maps.cf
>>>> virtual_gid_maps = static:5000
>>>> virtual_mailbox_base = /home/vmail
>>>> virtual_mailbox_domains = mysql:/etc/postfix/mysql_virtual_domains_maps.cf
>>>> virtual_mailbox_limit = 51200000
>>>> virtual_mailbox_maps = mysql:/etc/postfix/mysql_virtual_mailbox_maps.cf
>>>> virtual_minimum_uid = 5000
>>>> virtual_transport = virtual
>>>> virtual_uid_maps = static:5000
>>>>
>>>>
>>>> Das mit dem Oneway ist eben die Sache: der Server ist im Aufbau, insofern gibt es noch
>>>> keine Nutzer großartig, wir können innerhalb der Domain gegenseitig mailen
>>>> (uneingeschränkt), aber sobald eben etwas fremdes antworten möchte, knallts.
>>>> Rein von der Theorie sollte ich ja auch nur die Sender restrictions anpassen, weil darum
>>>> geht es mir ja, empfangen will ich erstmal alles ... aber der macht das nicht so, wie er
>>>> soll und wendet iwie auch sender restrictions für ankommende mails an ...
>>>
>>> Er macht das aber genauso wie du es Ihm gesagt hast.
>>> Ist er fremd dann gelten die regeln nach dem permit_sasl zusätzlich
>>> Mit dem reject nach dem permit kann nur senden wer sich angemeldet hat.
>>>
>>> Leider drückst du dich etwas unklar aus was der Server wirklich tun soll.
>>> Soll er nur interne Mails von bekannten Usern zustellen und das auch nicht von extern
>>> drauf geantwortet werden kann dann stimmt deine Config.
>>> Solltest dann aber auch evtl. drauf achten das keine Mails an fremde geschickt werden
>>> können.
>>
>> Er soll einfach alle Mails annehmen können und nur authorisierte User senden lassen ... :)
>>
>>>
>>> Willst du von von "fremden" Server Mails annehmen dann ist dein Setup entsprechend zu
>>> erweitern.
>>>
>>> Auf Postfix.org gibt es verwendbare Anleitungen wie vorzugehen ist.
>>>
>>> Das feintuning kommt dann danach.
>>>
>>> Mit freundlichen Grüßen
>>>
>>> Drießen
>>>
>>> --
>>> Software & Computer
>>> Uwe Drießen
>>> Lembergstraße 33
>>> 67824 Feilbingert
>>> Tel.: +49 06708 / 660045 Fax: +49 06708 / 661397
>>>
>>>
>>>
>>> _______________________________________________
>>> postfix-users mailing list
>>> postfix-users at de.postfix.org
>>> http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
>>
>> _______________________________________________
>> postfix-users mailing list
>> postfix-users at de.postfix.org
>> http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
>> _______________________________________________
>> postfix-users mailing list
>> postfix-users at de.postfix.org
>> http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
>
> _______________________________________________
> postfix-users mailing list
> postfix-users at de.postfix.org
> http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
> _______________________________________________
> postfix-users mailing list
> postfix-users at de.postfix.org
> http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
_______________________________________________
postfix-users mailing list
postfix-users at de.postfix.org
http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Mehr Informationen über die Mailingliste postfix-users