Schutz vor Forwarding-Loop?

[Andreas Krischer - akbyte]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

Hallo liebe Postfix User!

Wir haben in einer relativ großen Organisation folgendes LDAP-Setup:

ou=users,dc=domain,dc=de enthält alle User mit ihren Attributen. Dabei
nutzen wir das `mail`-Attribut immer als finale Ziel-Adresse eines
Users. Hat der User ein Postfach, ist es die Adresse des Postfachs - hat
der User nur eine Mail-Weiterleitung und kein Postfach, ist die Adresse
das Weiterleitungsziel.
Entsprechend haben wir bei letzterem Fall im Attribut
`mailForwardingAddress` die Mail-Adresse mit @domain.de, die
weitergeleitet wird.

Damit Postfix weiß, wer eine Weiterleitung und wer ein Postfach hat,
werden in den entsprechenden Querys unterschiedliche User genutzt und
per ACL gefiltert (die Berechtigungen verwalten wir ÃŒber LDAP-Gruppen
`groupOfNames`).

Das funktioniert auch hervorragend, aber vor kurzem hat jemand, der
bereits ein Postfach hatte, zusätzlich zu dem Postfach eine
Weiterleitung in seinem Account hinzugefügt. Das Ergebnis sah im LDAP so
aus:
cn=einUser,ou=users,dc=domain,dc=de
mail: einUser at domain.de
mail: einUser at externerAnbieter.de
mailForwardingAddress: einUser at domain.de

Ihr könnt schon ahnen, was passiert ist: Als eine Mail an
einUser at domain.de einging und Postfix nach Weiterleitungen für diese
Adresse gesucht hat, hat der LDAP-Query einUser at externerAnbieter.de
_und_ einUser at domain.de zurückgeliefert. Damit ist eine Endlosschleife
entstanden, die sich nur durch einen Postfix restart abbrechen lies
(vielleicht wäre es auch anders gegangen, aber ich wusste in dem Moment
nicht wie).

Wir haben jetzt lange diskutiert, wie wir das Problem lösen könnten:
auf Accounts mit Postfach & Weiterleitung zu verzichten, kommt leider
nicht in Frage. Auch vor einer Umstrukturierung des LDAPs sträuben wir
uns, weil dort sehr viele Anwendungen angeschlossen sind, die alle
angepasst werden müssen. Eine Möglichkeit wäre natürlich auch einfach
zwei User zu erstellen, aber da die User ihre Accounts über ein
Webinterface selber verwalten, wäre das auch ziemlich aufwendig zu
implementieren.

Ich habe natürlich auch schon die Suchmaschine meiner Wahl zu dem Thema
befragt, konnte aber nichts gescheites finden. Daher meine Frage:
Hat Postfix irgendeinen Forwarding-Loop-Schutz? So ganz unabhängig von
LDAP für alle virtuellen Aliasse? Eigentlich muss Postfix doch
intelligent genug sein, zu erkennen, dass Forwarding-Source und
- -Destination gleich sind?

Es wäre toll, wenn ihr uns da helfen könnt!

Viele Grüße,
Andreas Krischer

akbyte webentwicklung
Pastor-Lüpschen-Str. 82
52351 Düren
https://akbyte.com
kontakt at akbyte.com
+49 (0) 2421 500 332
Skype: akbyte_com

-----BEGIN PGP SIGNATURE-----
Comment: GPGTools - https://gpgtools.org

iQIcBAEBCgAGBQJWw/PmAAoJEPgOypzRIu6rCmwQALhF6U5Fa4cQKUZTC8tGM9eF
LP1eKj2c8KMrCS0PuGHlVXI3RKHpGrP3+PXmQheGJnW3z3MWz1hLpjfRTlibHJgY
uYFy4rbOeANPjqPklw7w8nE0sm7aNmTkv8E/rKBuhSrcGY4XOm+AG33Mp3P17ZW6
3+PhOHCepwG2pqS3gK95JIC1VypE+0xseeK8J/+XyksCThyxeFETpAzJmv101xR4
ojUJjMtx6zMRy+Nlff5Nc+1+oY6qR4zVQ4LNrFhXNdHIxnfRvqbqsUDYFnkdEIr1
FmMjyA234TgMKe3dskRiG0+3fXm9AFddgmkhZc5o0pASQH/4wElDSk1pSbEutNMu
uCp5cfJ33XUSpzkSU7zT/jr2l+X/GPgdUpfF+r1nZyweDisbe2pGVqoPMv9XeTcY
bceEixI55ViNW6leJrGp8y/h4JxF8AXruN7R1svSzhEtRDFUG5JwFH4imnxPrzPG
vnFZFHRmUkcd0lamFmztxwW17YwW3TODJPgsPSIzNtbd7FsGAscgc9IliRhHWOag
EqX3ltMbGdoxIUkui/ddKRkp2BUd+EHQCvEvTTtTKCoA8Id3TcRNXO8+VewY5PVk
7zZjTm4zM65e8SbCEFNTXqqzeGqSrNzUz88MMwWm31VPwAeoavqSNzGes1vWHX30
Gf/6nHWqNGhYF4nGv51B
=OVLn
-----END PGP SIGNATURE-----