[postfix-users] Problem mit Postcreen und opendkim

Ralf Zimmermann r.zimmermann at siegnetz.de
Fr Feb 10 13:18:39 CET 2012


On 02/10/2012 12:20 PM, Patrick Ben Koetter wrote:
> * Ralf Zimmermann <r.zimmermann at siegnetz.de>:
>> On 02/10/2012 10:08 AM, Ralf Hildebrandt wrote:
>>> * Ralf Zimmermann <r.zimmermann at siegnetz.de>:
>>>
>>>> Wenn ich so drueber nachdenke, will ich DKIM auf Port 25 gar nicht
>>>> abschalten. Wenn ich dies tue, dann werden eingehende Emails ja nicht
>>>> mehr verifiziert.
>>>
>>> Ah, du machst signing & verification im selben Daemon,ok
>>>
>>>> ein Problem ist, das opendkim nicht die wahre Absender IP sieht,
>>>> sondern durch Postcreen immer 127.0.0.1.
>>>
>>> Das klingt ja fast wie ein Bug.
>>>
>>> Also, ich DENKE du kannst das lösen, indem du ZWEI Milter hast, einer
>>> der signiert, und einer der nur verifiziert.
>>>
>>> Dann IN ETWA so machen:
>>>
>>> smtpd     pass  -       -       -       -       -       smtpd
>>>       -o receive_override_options=no_address_mappings
>>>       -o smtpd_proxy_filter=127.0.0.1:8025
>>>       -o smtpd_proxy_options=speed_adjust
>>>       -o smtpd_milters=inet:127.0.0.1:12000
>>>
>>> das ist der verifizierende Milter. smtpd_milters ist NUR in master.cf
>>> definiert.
>>>
>>> Und beim smtpd für Kunden dann:
>>>
>>> submission inet n       -       n       -       -       smtpd
>>>         -o smtpd_sasl_auth_enable=yes
>>>         -o smtpd_sasl_security_options=noanonymous,noplaintext
>>>         -o smtpd_sasl_tls_security_options=noanonymous
>>>         -o smtpd_delay_reject=yes
>>>         -o smtpd_recipient_restrictions=permit_mynetworks,permit_sasl_authenticated,reject
>>>         -o smtpd_milters=inet:127.0.0.1:8891
>>>         -o milter_macro_daemon_name=ORIGINATING
>>>         -o syslog_name=submission
>>>         -o smtpd_tls_security_level=may
>>>
>>> der hat dann KEIN postscreen, und für den milter ist ORIGINATING
>>> gesetzt. Ausserdem ists ein anderer.
>>>
>>
>> Wenn ich die Option '-o smtpd_proxy_filter=[127.0.0.1]:10024'
>> deaktiviere, dann funktioniert es mit deinem Tipp.
>>
>> Mit zwei Miltern und deiner Konfiguration gehts. Sobald ich einen
>> 'smtpd_proxy_filter' definiere gehts nicht mehr.
> 
> Man kann keine Milter in Verbindung mit smtpd_proxy_filter betreiben.
> 
> p at rick
> 

Mit folgender Konfiguration scheint es zu funktionieren. SASL User deren
Domains signiert werden sollen, werden signiert und eingehende Emails
lediglich verifiziert. Allerdings kann ich keinen 'smtpd_proxy_filter'
fuer SASL-Auth User definieren.

Das Thema scheint schnell sehr komplex zu werden. Ich werde mir die
einzelnen Dokumentationen zur Brust nehmen muessen. Danke fuer Tipps.
Habt mir sehr weitergeholfen.

#/etc/postfix/main.cf
milter_protocol = 6
milter_default_action = tempfail
smtpd_milters = inet:localhost:8892
non_smtpd_milters = inet:localhost:8891

#/etc/postfix/master.cf
smtps     inet  n       -       -       -       -       smtpd
  -o smtpd_tls_wrappermode=yes
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
  -o content_filter=
  -o smtpd_milters=inet:127.0.0.1:8891
  -o milter_default_action=accept
  -o milter_protocol=6
  -o milter_macro_daemon_name=ORIGINATING
  -o syslog_name=smtps
127.0.0.1:10025 inet n  -       -     -       -  smtpd
    -o ...
    -o smtpd_proxy_filter=
    -o smtpd_milters=inet:127.0.0.1:8892
    -o milter_default_action=accept
    -o milter_protocol=6
    -o milter_macro_daemon_name=MTA
smtp      inet  n       -       n       -       1       postscreen
smtpd     pass  -       -       n       -       -       smtpd
     -o smtpd_client_connection_count_limit=10
     -o smtpd_proxy_options=speed_adjust
     -o content_filter=
     -o smtpd_proxy_filter=[127.0.0.1]:10024
     -o smtpd_milters=
dnsblog   unix  -       -       n       -       0       dnsblog
tlsproxy  unix  -       -       n       -       0       tlsproxy

Gruss
Ralf


Mehr Informationen über die Mailingliste postfix-users