[postfix-users] Problem mit Postcreen und opendkim
Ralf Zimmermann
r.zimmermann at siegnetz.de
Fr Feb 10 13:18:39 CET 2012
On 02/10/2012 12:20 PM, Patrick Ben Koetter wrote:
> * Ralf Zimmermann <r.zimmermann at siegnetz.de>:
>> On 02/10/2012 10:08 AM, Ralf Hildebrandt wrote:
>>> * Ralf Zimmermann <r.zimmermann at siegnetz.de>:
>>>
>>>> Wenn ich so drueber nachdenke, will ich DKIM auf Port 25 gar nicht
>>>> abschalten. Wenn ich dies tue, dann werden eingehende Emails ja nicht
>>>> mehr verifiziert.
>>>
>>> Ah, du machst signing & verification im selben Daemon,ok
>>>
>>>> ein Problem ist, das opendkim nicht die wahre Absender IP sieht,
>>>> sondern durch Postcreen immer 127.0.0.1.
>>>
>>> Das klingt ja fast wie ein Bug.
>>>
>>> Also, ich DENKE du kannst das lösen, indem du ZWEI Milter hast, einer
>>> der signiert, und einer der nur verifiziert.
>>>
>>> Dann IN ETWA so machen:
>>>
>>> smtpd pass - - - - - smtpd
>>> -o receive_override_options=no_address_mappings
>>> -o smtpd_proxy_filter=127.0.0.1:8025
>>> -o smtpd_proxy_options=speed_adjust
>>> -o smtpd_milters=inet:127.0.0.1:12000
>>>
>>> das ist der verifizierende Milter. smtpd_milters ist NUR in master.cf
>>> definiert.
>>>
>>> Und beim smtpd für Kunden dann:
>>>
>>> submission inet n - n - - smtpd
>>> -o smtpd_sasl_auth_enable=yes
>>> -o smtpd_sasl_security_options=noanonymous,noplaintext
>>> -o smtpd_sasl_tls_security_options=noanonymous
>>> -o smtpd_delay_reject=yes
>>> -o smtpd_recipient_restrictions=permit_mynetworks,permit_sasl_authenticated,reject
>>> -o smtpd_milters=inet:127.0.0.1:8891
>>> -o milter_macro_daemon_name=ORIGINATING
>>> -o syslog_name=submission
>>> -o smtpd_tls_security_level=may
>>>
>>> der hat dann KEIN postscreen, und für den milter ist ORIGINATING
>>> gesetzt. Ausserdem ists ein anderer.
>>>
>>
>> Wenn ich die Option '-o smtpd_proxy_filter=[127.0.0.1]:10024'
>> deaktiviere, dann funktioniert es mit deinem Tipp.
>>
>> Mit zwei Miltern und deiner Konfiguration gehts. Sobald ich einen
>> 'smtpd_proxy_filter' definiere gehts nicht mehr.
>
> Man kann keine Milter in Verbindung mit smtpd_proxy_filter betreiben.
>
> p at rick
>
Mit folgender Konfiguration scheint es zu funktionieren. SASL User deren
Domains signiert werden sollen, werden signiert und eingehende Emails
lediglich verifiziert. Allerdings kann ich keinen 'smtpd_proxy_filter'
fuer SASL-Auth User definieren.
Das Thema scheint schnell sehr komplex zu werden. Ich werde mir die
einzelnen Dokumentationen zur Brust nehmen muessen. Danke fuer Tipps.
Habt mir sehr weitergeholfen.
#/etc/postfix/main.cf
milter_protocol = 6
milter_default_action = tempfail
smtpd_milters = inet:localhost:8892
non_smtpd_milters = inet:localhost:8891
#/etc/postfix/master.cf
smtps inet n - - - - smtpd
-o smtpd_tls_wrappermode=yes
-o smtpd_sasl_auth_enable=yes
-o smtpd_client_restrictions=permit_sasl_authenticated,reject
-o content_filter=
-o smtpd_milters=inet:127.0.0.1:8891
-o milter_default_action=accept
-o milter_protocol=6
-o milter_macro_daemon_name=ORIGINATING
-o syslog_name=smtps
127.0.0.1:10025 inet n - - - - smtpd
-o ...
-o smtpd_proxy_filter=
-o smtpd_milters=inet:127.0.0.1:8892
-o milter_default_action=accept
-o milter_protocol=6
-o milter_macro_daemon_name=MTA
smtp inet n - n - 1 postscreen
smtpd pass - - n - - smtpd
-o smtpd_client_connection_count_limit=10
-o smtpd_proxy_options=speed_adjust
-o content_filter=
-o smtpd_proxy_filter=[127.0.0.1]:10024
-o smtpd_milters=
dnsblog unix - - n - 0 dnsblog
tlsproxy unix - - n - 0 tlsproxy
Gruss
Ralf
Mehr Informationen über die Mailingliste postfix-users