Submission Port - receive_override_options=no_header_body_checks funktioniert nicht
Andreas Wass - Glas Gasperlmair
a.wass at glas-gasperlmair.at
Mo Sep 13 13:48:06 CEST 2021
So Leute,
vielen Dank für eure Inputs, hab die Lösung gefunden:
Und zwar im Postfix Buch von Peer Heinlein auf S. 379 (ich hoffe, ich
darf daraus zitieren)
no_header_body_checks
"Bei einer Einbindung über smtpd_proxy_filter werden die
Body-/Headerchecks bei der ursprünglichen Annahme der E-Mail auf Port 25
nicht ausgeführt und müssen darum auf localhost:10025 angewendet werden,
wenn sie wirken sollen"
Genau da liegt/lag mein Problem:
Als Lösung funktioniert ein zusätzlicher Rückgabe-Port von Amavisd für
submission, wo ich no_header_body_checks ausführen lassen kann.
Könnte mich aber durchaus damit anfreunden, auf amavisd ganz zu
verzichten und statt dessen rspamd zu verwenden
Danke für den Tipp an J. Fahrner. Hab mittlerweile einiges darüber
gelesen, auch Heinlein empfiehlt so was und bietet glaub ich Seminare an.
Bin gerade am Testen und bisher sehr zufrieden.
vg, Andi
Am 09.09.2021 um 16:59 schrieb Robert Schetterer:
> Am 09.09.21 um 15:15 schrieb Andreas Wass - Glas Gasperlmair:
>> Weitere Erkenntnisse:
>>
>> 1.) Sobald *amavisd aktiviert* wird - egal ob auf smtpd oder auf
>> submission - greift
>> *receive_override_options=no_header_body_checks**NICHT mehr. *Außer
>> ich setze diesen hier...
>>
>> localhost:10025 inet n - n - - smtpd
>> -o receive_override_options=no_header_body_checks
>>
>> ...wenn mail von amavis nach Prüfung wieder an postfix zurückgegeben
>> wird, dann werden die checks allerdings für alle Mails umgangen, was
>> ja auch nutzlos ist.
>>
>> 2.) Lt. maillog greift der cleanup zeitlich auch erst nach amavis ein
>>
>> 3.) Das mit einem eigenen "cleanup" für submission lt.
>> https://qastack.com.de/server/658106/how-to-block-attachments-on-incoming-mails-only-using-postfix
>> funktioniert auch nicht.
>>
>> Vielleicht irgendwer eine Idee?
>>
>> Wollt ihr die Header- und Bodychecks für interne Firmenmails denn gar
>> nicht umgehen. Ist doch irgendwie lästig, wenn ich eine von extern
>> eingetroffene Mail aus der HoldQueue entlasse, um sie dann einige
>> Minuten später wieder entlassen zu müssen, nur weil diese intern
>> weitergeleitet wird. :-(
>>
>> Irgendwie hab ich das Gefühl, dass clamav und spamassassin nutzlos
>> sind, die paar mal, das hier was rausgefischt wird.
>> Da hab ich mit meinen Header und Bodychecks mehr Treffer kommt mir vor.
>>
>> 4.) Wendet ihr andere Einstellungen für clamav und Spamassassin an
>> als die default-Einstellungen?
>>
>>
>> vg, Andi
>>
>> Am 09.09.2021 um 09:11 schrieb Andreas Wass - Glas Gasperlmair:
>>> Guten Morgen Allerseits,
>>>
>>> bin jetzt zumindest mal soweit, dass Header- und Bodychecks bei
>>> Mails von extern geprüft und ggf. in die hold-queue gestellt werden
>>> und dass die Checks bei internen mails nicht zur Anwendung kommen.
>>> (genau so soll es sein)
>>>
>>> Das funktioniert aber nur, wenn ich amavisd für submission port
>>> deaktiviere (s. master.cf)
>>>
>>> Wenn ich für submission port die Zeile *-o
>>> content_filter=smtp:[127.0.0.1]:10030* aktiviere, dann werden die
>>> Header- und Bodychecks auch intern angewendet, was ich nicht möchte.
>>> Viren und Spamcheck für interne mails möchte ich aber auch nicht
>>> abschalten.
>>>
>>> #
>>> ==========================================================================
>>> #smtp inet n - y - - smtpd
>>> # Port 25 - alle extern ankommenden mails per postscreen pruefen
>>> smtp inet n - y - 1 postscreen
>>> smtpd pass - - y - - smtpd
>>> # SASL auf port 25 nicht zulassen (senden nur über submission s. unten)
>>> -o smtpd_sasl_auth_enable=no
>>> *# extern ankommende Mails per smtpd_proxy_filter an amavis übergeben**
>>> ** -o smtpd_proxy_filter=localhost:10024*
>>> dnsblog unix - - y - 0 dnsblog
>>> tlsproxy unix - - y - 0 tlsproxy
>>> # Port 587 - Senden von mails nur über diesen Port zulassen
>>> *submission inet n - y - - smtpd*
>>> -o syslog_name=postfix/submission
>>> -o smtpd_tls_security_level=encrypt
>>> -o smtpd_sasl_auth_enable=yes
>>> # -o smtpd_tls_auth_only=yes
>>> -o receive_override_options=no_header_body_checks
>>> -o smtpd_reject_unlisted_recipient=no
>>> # -o smtpd_client_restrictions=$mua_client_restrictions
>>> # -o smtpd_helo_restrictions=$mua_helo_restrictions
>>> # -o smtpd_sender_restrictions=$mua_sender_restrictions
>>> -o smtpd_recipient_restrictions=
>>> -o smtpd_relay_restrictions=permit_sasl_authenticated,reject
>>> # -o milter_macro_daemon_name=ORIGINATING
>>> *# zu sendende mails (z.B. Thunderbird) per content_filter an amavis
>>> übergeben*
>>> *# -o content_filter=smtp:[127.0.0.1]:10030*
>>> #smtps inet n - y - - smtpd
>>> # -o syslog_name=postfix/smtps
>>> # -o smtpd_tls_wrappermode=yes
>>> # -o smtpd_sasl_auth_enable=yes
>>> # -o smtpd_reject_unlisted_recipient=no
>>> # -o smtpd_client_restrictions=$mua_client_restrictions
>>> # -o smtpd_helo_restrictions=$mua_helo_restrictions
>>> # -o smtpd_sender_restrictions=$mua_sender_restrictions
>>> # -o smtpd_recipient_restrictions=
>>> # -o smtpd_relay_restrictions=permit_sasl_authenticated,reject
>>> # -o milter_macro_daemon_name=ORIGINATING
>>> #628 inet n - y - - qmqpd
>>> pickup unix n - y 60 1 pickup
>>> cleanup unix n - y - 0 cleanup
>>> qmgr unix n - n 300 1 qmgr
>>> #qmgr unix n - n 300 1 oqmgr
>>> tlsmgr unix - - y 1000? 1 tlsmgr
>>> rewrite unix - - y - - trivial-rewrite
>>> bounce unix - - y - 0 bounce
>>> defer unix - - y - 0 bounce
>>> trace unix - - y - 0 bounce
>>> verify unix - - y - 1 verify
>>> flush unix n - y 1000? 0 flush
>>> proxymap unix - - n - - proxymap
>>> proxywrite unix - - n - 1 proxymap
>>> smtp unix - - y - - smtp
>>> relay unix - - y - - smtp
>>> -o syslog_name=postfix/$service_name
>>> # -o smtp_helo_timeout=5 -o smtp_connect_timeout=5
>>> showq unix n - y - - showq
>>> error unix - - y - - error
>>> retry unix - - y - - error
>>> discard unix - - y - - discard
>>> local unix - n n - - local
>>> virtual unix - n n - - virtual
>>> lmtp unix - - y - - lmtp
>>> anvil unix - - y - 1 anvil
>>> scache unix - - y - 1 scache
>>> postlog unix-dgram n - n - 1 postlogd
>>> #
>>> # ====================================================================
>>> # Interfaces to non-Postfix software. Be sure to examine the manual
>>> # pages of the non-Postfix software to find out what options it wants.
>>> #
>>> # Many of the following services use the Postfix pipe(8) delivery
>>> # agent. See the pipe(8) man page for information about ${recipient}
>>> # and other message envelope options.
>>> # ====================================================================
>>> #
>>> # maildrop. See the Postfix MAILDROP_README file for details.
>>> # Also specify in main.cf: maildrop_destination_recipient_limit=1
>>> #
>>> maildrop unix - n n - - pipe
>>> flags=DRXhu user=vmail argv=/usr/bin/maildrop -d ${recipient}
>>> #
>>> # ====================================================================
>>> #
>>> # Recent Cyrus versions can use the existing "lmtp" master.cf entry.
>>> #
>>> # Specify in cyrus.conf:
>>> # lmtp cmd="lmtpd -a" listen="localhost:lmtp" proto=tcp4
>>> #
>>> # Specify in main.cf one or more of the following:
>>> # mailbox_transport = lmtp:inet:localhost
>>> # virtual_transport = lmtp:inet:localhost
>>> #
>>> # ====================================================================
>>> #
>>> # Cyrus 2.1.5 (Amos Gouaux)
>>> # Also specify in main.cf: cyrus_destination_recipient_limit=1
>>> #
>>> #cyrus unix - n n - - pipe
>>> # flags=DRX user=cyrus argv=/cyrus/bin/deliver -e -r ${sender} -m
>>> ${extension} ${user}
>>> #
>>> # ====================================================================
>>> # Old example of delivery via Cyrus.
>>> #
>>> #old-cyrus unix - n n - - pipe
>>> # flags=R user=cyrus argv=/cyrus/bin/deliver -e -m ${extension}
>>> ${user}
>>> #
>>> # ====================================================================
>>> #
>>> # See the Postfix UUCP_README file for configuration details.
>>> #
>>> uucp unix - n n - - pipe
>>> flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail
>>> ($recipient)
>>> #
>>> # Other external delivery methods.
>>> #
>>> ifmail unix - n n - - pipe
>>> flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient)
>>> bsmtp unix - n n - - pipe
>>> flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -t$nexthop
>>> -f$sender $recipient
>>> scalemail-backend unix - n n - 2 pipe
>>> flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store
>>> ${nexthop} ${user} ${extension}
>>> mailman unix - n n - - pipe
>>> flags=FRX user=list
>>> argv=/usr/lib/mailman/bin/postfix-to-mailman.py ${nexthop} ${user}
>>> # Rückgabe der untersuchten Mails von amavis an postfix
>>> *localhost:10025 inet n - - - - smtpd**
>>> ** -o content_filter=**
>>> ** -o smtpd_proxy_filter=**
>>> ** -o smtpd_authorized_xforward_hosts=127.0.0.0/8**
>>> ** -o smtpd_client_restrictions=**
>>> ** -o smtpd_helo_restrictions=**
>>> ** -o smtpd_sender_restrictions=**
>>> ** -o smtpd_recipient_restrictions=permit_mynetworks,reject**
>>> ** -o smtpd_data_restrictions=**
>>> ** -o mynetworks=127.0.0.0/8**
>>> ** -o receive_override_options=no_unknown_recipient_checks**
>>> **## Folgende Zeile verhindert die checks komplett (zur Zeit)**
>>> **## -o
>>> receive_override_options=no_header_body_checks,no_unknown_recipient_checks*
>>>
>>> vg, Andi
>>>
>>> Am 07.09.2021 um 16:32 schrieb Robert Schetterer:
>>>> Am 07.09.21 um 08:51 schrieb Andreas Wass - Glas Gasperlmair:
>>>>> Hallo Liste,
>>>>>
>>>>> Möchte Header- und Bodychecks für submission port deaktivieren,
>>>>> hab den receive_override_options=no_header_body_checks brav in die
>>>>> master.cf wie folgt eingetragen, allerdings funktioniert das nicht.
>>>>
>>>> http://www.postfix.org/FILTER_README.html
>>>>
>>>> NOTE: do not use spaces around the "=" or "," characters
>>>>
>>>> ich hab mich mal daemlich gesucht weil ich da einen whitespace
>>>> hatte, evtl mal checken
>>>>
>>>>
>>>>>
>>>>> Mails mit diversen Keyword werden sowohl an port 25 (wo es ja
>>>>> berechtigt ist) als auch am submission (wo sie durchgelassen
>>>>> werden solten) in die HOLD queue gestellt.
>>>>>
>>>>> #
>>>>> ==========================================================================
>>>>> # service type private unpriv chroot wakeup maxproc command +
>>>>> args
>>>>> # (yes) (yes) (no) (never) (100)
>>>>> #
>>>>> ==========================================================================
>>>>> #smtp inet n - y - - smtpd
>>>>> # Port 25 - alle extern ankommenden mails per postscreen pruefen
>>>>> smtp inet n - y - 1 postscreen
>>>>> smtpd pass - - y - - smtpd
>>>>> # SASL auf port 25 nicht zulassen (senden nur über submission s.
>>>>> unten)
>>>>> -o smtpd_sasl_auth_enable=no
>>>>> # extern ankommende Mails per smtpd_proxy_filter an amavis übergeben
>>>>> -o smtpd_proxy_filter=localhost:10024
>>>>> dnsblog unix - - y - 0 dnsblog
>>>>> tlsproxy unix - - y - 0 tlsproxy
>>>>> # Port 587 - Senden von mails nur über diesen Port zulassen
>>>>> *submission inet n - y - - smtpd**
>>>>> ** -o receive_override_options=no_header_body_checks*
>>>>> -o syslog_name=postfix/submission
>>>>> -o smtpd_tls_security_level=encrypt
>>>>> -o smtpd_sasl_auth_enable=yes
>>>>> # -o smtpd_tls_auth_only=yes
>>>>> -o smtpd_reject_unlisted_recipient=no
>>>>> # -o smtpd_client_restrictions=$mua_client_restrictions
>>>>> # -o smtpd_helo_restrictions=$mua_helo_restrictions
>>>>> # -o smtpd_sender_restrictions=$mua_sender_restrictions
>>>>> -o smtpd_recipient_restrictions=
>>>>> -o smtpd_relay_restrictions=permit_sasl_authenticated,reject
>>>>> # -o receive_override_options=no_header_body_checks
>>>>> # -o milter_macro_daemon_name=ORIGINATING
>>>>> # zu sendende mails (z.B. Thunderbird) per content_filter an
>>>>> amavis übergeben
>>>>> -o content_filter=smtp:[127.0.0.1]:10030
>>>>> #smtps inet n - y - - smtpd
>>>>> # -o syslog_name=postfix/smtps
>>>>> # -o smtpd_tls_wrappermode=yes
>>>>> # -o smtpd_sasl_auth_enable=yes
>>>>> # -o smtpd_reject_unlisted_recipient=no
>>>>> # -o smtpd_client_restrictions=$mua_client_restrictions
>>>>> # -o smtpd_helo_restrictions=$mua_helo_restrictions
>>>>> # -o smtpd_sender_restrictions=$mua_sender_restrictions
>>>>> # -o smtpd_recipient_restrictions=
>>>>> # -o smtpd_relay_restrictions=permit_sasl_authenticated,reject
>>>>> # -o milter_macro_daemon_name=ORIGINATING
>>>>> #628 inet n - y - - qmqpd
>>>>> pickup unix n - y 60 1 pickup
>>>>> cleanup unix n - y - 0 cleanup
>>>>> qmgr unix n - n 300 1 qmgr
>>>>> #qmgr unix n - n 300 1 oqmgr
>>>>> tlsmgr unix - - y 1000? 1 tlsmgr
>>>>> rewrite unix - - y - - trivial-rewrite
>>>>> bounce unix - - y - 0 bounce
>>>>> defer unix - - y - 0 bounce
>>>>> trace unix - - y - 0 bounce
>>>>> verify unix - - y - 1 verify
>>>>> flush unix n - y 1000? 0 flush
>>>>> proxymap unix - - n - - proxymap
>>>>> proxywrite unix - - n - 1 proxymap
>>>>> smtp unix - - y - - smtp
>>>>> relay unix - - y - - smtp
>>>>> -o syslog_name=postfix/$service_name
>>>>> # -o smtp_helo_timeout=5 -o smtp_connect_timeout=5
>>>>> showq unix n - y - - showq
>>>>> error unix - - y - - error
>>>>> retry unix - - y - - error
>>>>> discard unix - - y - - discard
>>>>> local unix - n n - - local
>>>>> virtual unix - n n - - virtual
>>>>> lmtp unix - - y - - lmtp
>>>>> anvil unix - - y - 1 anvil
>>>>> scache unix - - y - 1 scache
>>>>> postlog unix-dgram n - n - 1 postlogd
>>>>> #
>>>>> #
>>>>> ====================================================================
>>>>> # Interfaces to non-Postfix software. Be sure to examine the manual
>>>>> # pages of the non-Postfix software to find out what options it
>>>>> wants.
>>>>> #
>>>>> # Many of the following services use the Postfix pipe(8) delivery
>>>>> # agent. See the pipe(8) man page for information about ${recipient}
>>>>> # and other message envelope options.
>>>>> #
>>>>> ====================================================================
>>>>> #
>>>>> # maildrop. See the Postfix MAILDROP_README file for details.
>>>>> # Also specify in main.cf: maildrop_destination_recipient_limit=1
>>>>> #
>>>>> maildrop unix - n n - - pipe
>>>>> flags=DRXhu user=vmail argv=/usr/bin/maildrop -d ${recipient}
>>>>> #
>>>>> #
>>>>> ====================================================================
>>>>> #
>>>>> # Recent Cyrus versions can use the existing "lmtp" master.cf entry.
>>>>> #
>>>>> # Specify in cyrus.conf:
>>>>> # lmtp cmd="lmtpd -a" listen="localhost:lmtp" proto=tcp4
>>>>> #
>>>>> # Specify in main.cf one or more of the following:
>>>>> # mailbox_transport = lmtp:inet:localhost
>>>>> # virtual_transport = lmtp:inet:localhost
>>>>> #
>>>>> #
>>>>> ====================================================================
>>>>> #
>>>>> # Cyrus 2.1.5 (Amos Gouaux)
>>>>> # Also specify in main.cf: cyrus_destination_recipient_limit=1
>>>>> #
>>>>> #cyrus unix - n n - - pipe
>>>>> # flags=DRX user=cyrus argv=/cyrus/bin/deliver -e -r ${sender} -m
>>>>> ${extension} ${user}
>>>>> #
>>>>> #
>>>>> ====================================================================
>>>>> # Old example of delivery via Cyrus.
>>>>> #
>>>>> #old-cyrus unix - n n - - pipe
>>>>> # flags=R user=cyrus argv=/cyrus/bin/deliver -e -m ${extension}
>>>>> ${user}
>>>>> #
>>>>> #
>>>>> ====================================================================
>>>>> #
>>>>> # See the Postfix UUCP_README file for configuration details.
>>>>> #
>>>>> uucp unix - n n - - pipe
>>>>> flags=Fqhu user=uucp argv=uux -r -n -z -a$sender -
>>>>> $nexthop!rmail ($recipient)
>>>>> #
>>>>> # Other external delivery methods.
>>>>> #
>>>>> ifmail unix - n n - - pipe
>>>>> flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop
>>>>> ($recipient)
>>>>> bsmtp unix - n n - - pipe
>>>>> flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -t$nexthop
>>>>> -f$sender $recipient
>>>>> scalemail-backend unix - n n - 2 pipe
>>>>> flags=R user=scalemail
>>>>> argv=/usr/lib/scalemail/bin/scalemail-store ${nexthop} ${user}
>>>>> ${extension}
>>>>> mailman unix - n n - - pipe
>>>>> flags=FRX user=list
>>>>> argv=/usr/lib/mailman/bin/postfix-to-mailman.py ${nexthop} ${user}
>>>>> # Rückgabe der untersuchten Mails von amavis an postfix
>>>>> localhost:10025 inet n - - - - smtpd
>>>>> -o content_filter=
>>>>> -o smtpd_proxy_filter=
>>>>> -o smtpd_authorized_xforward_hosts=127.0.0.0/8
>>>>> -o smtpd_client_restrictions=
>>>>> -o smtpd_helo_restrictions=
>>>>> -o smtpd_sender_restrictions=
>>>>> -o smtpd_recipient_restrictions=permit_mynetworks,reject
>>>>> -o smtpd_data_restrictions=
>>>>> -o mynetworks=127.0.0.0/8
>>>>> -o receive_override_options=no_unknown_recipient_checks
>>>>>
>>>>>
>>>>> vg, Andi
>>>>
>>>>
>>>
>>
>
> Hi, also Spamassassin kann man mit weiteren Rezepten tunen
> und clamav kann man weitere Quellen hinzufuegen
> allerdings muss man sich drauf gefasst machen dass man am Anfang
> etwas nachjustieren muss, ich bin grad etwas mit deinem Amavis Setup
> ueberfordert und war eh nicht gut damit, das sieht allerdings sehr
> nach der klassischen Methode aus
> warum nutzt du das nicht als milter
>
> https://blog.sys4.de/amavisd-milter-howto-de.html
>
Mehr Informationen über die Mailingliste postfix-users