Dovecot Sasl | Auth not enabled

Patrick Ben Koetter p at sys4.de
Do Feb 21 01:43:55 CET 2019 

* Alex JOST <jost+lists at dimejo.at>:
> Am 20.02.2019 um 15:32 schrieb Stefanie Leisestreichler:
> > 
> > 
> > Am 20.02.19 um 14:45 schrieb Alex JOST:
> > > PS: AUTH auf Port 25 ist eigentlich keine gute Idee. Wenn möglich
> > > immer einen eigenen Port dafür benutzen.
> > 
> > Das mache ich gerne so, wie Du es vorschlägst. Ich nehme an, Du meinst
> > ich soll statt dessen Port 587 verwenden, oder?
> 
> Genau. Port 587 ist inzwischen der Standardport für einliefernde MUAs.
> 
> 
> > Gerne würde ich auch verstehen, warum Du das empfiehlst. Würdest Du mir
> > das ggfs. kurz erläutern oder einen Link zu einer entsprechenden Doku
> > senden?
> 
> Patrick hat es im Wesentlich gut erklärt, aber das strikte Trennen von MTAs
> und MUAs hat nicht nur den Vorteil, dass man beim einen die Verschlüsselung
> erzwingen kann, während man beim anderen auch unverschlüsselte Verbindungen
> zulässt. Es erlaubt Dir generell unterschiedliche Konfigurationen für
> einliefernde Server und Deine Benutzer zu nutzen.
> 
> Die wichtigsten Punkte sind für mich:
> * unterschiedlich starke Verschlüsselung
> * DNSBLs (z.B. mit Postscreen)
> * Ratelimiting

Genau. Die Trennung von MUA -587-> MSA und MTA -25-> MTA gestattet
unterschiedliche Policies. Ich setze zusätzlich noch smtpd_delay_reject = no
auf Port 25, weil ich dort nicht auf fehlerhaft implementierte MUAs mehr
Rücksicht nehmen muss.

Auf großen Plattformen mache ich das nicht, solange ich mir das
Ressourcentechnisch erlauben kann. Da lasse ich die Spammer lange in die
Session reinrennen, damit die Tools viel über den Spammer lernen können. Das
hilft bei Auswertungen typische Merkmale von Spammern zu erkennen. Würde ich
sie sofort rejecten wäre der Lerngewinn geringer.

> Wichtig ist aber nur das im Vorfeld schon klar zu trennen. Die Benutzer dazu
> zu bewegen die Einstellungen nachträglich in allen Geräte zu ändern kostet
> sehr viel Mühe und Zeit.

Für die Konfiguration von MUAs empfehle ich https://automx.org. Das macht es
für Endanwender einfach, ihr Mailprogramm zu konfigurieren. Spart Zeit, man
kann "seine" sichere policy einfach durchsetzen und entlastet den Support
erheblich.

p at rick

-- 
[*] sys4 AG
 
https://sys4.de, +49 (89) 30 90 46 64
Schleißheimer Straße 26/MG,80333 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer, Wolfgang Stief
Aufsichtsratsvorsitzender: Florian Kirstein

Mehr Informationen über die Mailingliste postfix-users