Port 25 für MUA sperren

Martin Steigerwald martin at lichtvoll.de
Sa Sep 10 12:08:34 CEST 2016 

Am Samstag, 10. September 2016, 00:28:58 CEST schrieb Markus Gonzalez:
> > Beides bringt eine ganze Reihe von Problemen und Nachteilen mit sich. Und
> > ehrlich gesagt sehe ich auch die Motivation dahinter nicht. Was ist so
> > schlimm daran, wenn ein MUA seine Mails auf 25 einkippt?
> MTA's müssen ohne SSL/TLS Mails einliefern können, dies passiert  in
> aller Regel auf Port 25.
> Würde ich hier TLS/SSL bzw. STARTTLS - so wie ich es mir von den MUA's
> wünsche - erzwingen, wäre das vermutlich ebenso bindend für MTA's, oder ??
> Deswegen sollten MUA's nur die Ports 465 od. 587 verwenden können, damit
> ich genau das erzwingen kann.

Nein, das ist getrennt einstellbar. Falls es anders wäre, würden ja all die 
Setups, wo MUAs auf Port 25 ihre Mails einkippen nicht funktionieren. Und ich 
denke, derer gibt es Viele.

Die Trennung erfolgt in der Regel über die Reihenfolge bei den Restrictions.
So erlaube ich mit "permit_mynetworks" erstmal Mails aus dem eigenen Netzwerk, 
in meinem Fall nur Localhost, und dann mit "permit_sasl_authenticated" via 
SASL-authentifizierte Mails. Und dann kommen alle Regeln, um Spam außen vor zu 
halten. Wichtig ist dabei eben auch "reject_unauth_destination" – denn sonst 
hättest Du ein offenes Relay. Mit der Option verweigert Postfix alle Mails, 
für die er nicht zuständig ist (siehe man 5 postconf):

       reject_unauth_destination
              Reject the request unless one of the following is true:

       ·      Postfix is mail forwarder: the resolved RCPT  TO  domain
              matches  $relay_domains or a subdomain thereof, and con‐
              tains   no    sender-specified    routing    (user at elsewhere at domain),

       ·      Postfix  is  the final destination: the resolved RCPT TO
              domain   matches    $mydestination,    $inet_interfaces,
              $proxy_interfaces,   $virtual_alias_domains,   or  $vir‐
              tual_mailbox_domains, and contains  no  sender-specified
              routing (user at elsewhere@domain).
              The  relay_domains_reject_code  parameter  specifies the
              response code for rejected requests (default: 554).

D.h. andere MTAs dürfen Mails bei mir ohne SASL abkippen, sofern die für mich 
sind und keine meiner Spam-Abwehrmaßnahmen auf SMTP-Ebene greift. So 
funktioniert das bei meinem Servers schon seit 10 Jahren oder so.

Ciao,
-- 
Martin

Mehr Informationen über die Mailingliste postfix-users