[Postfixbuch-users] RelayedOpenRelay

Andreas Meyer anmeyer at anup.de
So Aug 14 00:13:33 CEST 2011 

Patrick Ben Koetter <p at state-of-mind.de> wrote:
 
> > Aug 13 21:59:44 mail.bitcorner.eu /usr/sbin/amavisd[12774]: (12774-03) Open relay? Nonlocal recips but not originating: users at lists.claws-mail.org
> > Aug 13 21:59:44 mail.bitcorner.eu /usr/sbin/amavisd[12774]: (12774-03) Passed CLEAN {RelayedOpenRelay}, [46.115.0.64] [46.115.0.64] <anmeyer at anup.de> -> <users at lists.claws-mail.org>, Message-ID: <20110813215934.4e34382f at itx.bitcorner.intern>, mail_id: 4P1npJKf4kHv, Hits: -3.866, size: 1057, queued_as: DBD1036DCA52, 1741 ms
> > 
> > Was will mir  das mit dem {RelayedOpenRelay} sagen?
> 
> Das passiert immer dann wenn jemand claws nimmt, um Mails zu senden. Mit mutt
> passiert das nicht ... ;)

ah, ok, natürlich, wie konnte ich das nur übersehen ;)

> Im Ernst: Das passiert wenn eine Mail an remote (non-local) Empfänger geht und
> der Absender nicht als lokaler (originating) Sender identifiziert werden kann.
> 
> Eine derartige Konstellation entsteht, wenn jemand Dein Mailsystem mißbrauchen
> kann und es somit ein Open Relay {RelayedOpenRelay} ist.
> 
> Sie entsteht aber auch - und das wird bei Dir wohl zutreffen - wenn Dein
> Mailclient nicht über eine @mynetworks IP sendet oder keiner $policy_bank
> zugeordnet wird die das ORIGINATING Flag setzt.
> 
> Statische IP
> Wenn Du von einer statischen IP aus sendest, dann füge diese zu @mynetworks
> hinzu.
> 
> Dynamische IP
> Wenn Du SASL authentifiziert sendest rate ich Dir lokale Sender von remote
> Sendern durch den Port auf den Mail submitted bzw. transferiert wird zu
> trennen. Lokale submitten auf Port 587 und remote MTAs kommen wie gehabt auf
> Port 25 rein.

Aber sende ich von meiner privaten Kiste aus wie auch die Kunden nicht
immer remote? local wären eigentlich nur die, die das Webinterface zum
mailen benutzen.

> Konfigurier Dir für lokale Sender den submission-Dienst in Postfix und sende
> von dort alles auf einen dedizierten Port in amavis, den Du dann einer
> $policy_bank zuordnest, die ORIGINATING setzt.
> 
> Eine Konfig könnte etwa so aussehen:
> 
> # Postfix 
> submission inet n       -       n       -       32       smtpd
>     -o smtpd_proxy_filter=[127.0.0.1]:10026
>     -o smtpd_client_connection_count_limit=16
>     -o smtpd_delay_reject=yes
>     -o smtpd_sasl_auth_enable=yes
>     -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject
>     -o smtpd_tls_security_level=may
>     -o milter_macro_daemon_name=ORIGINATING
> 
> 
> # amavis
> $inet_socket_port = [9998,10024,10026];
> $interface_policy{'10026'} = 'LOCAL';
> 
> $policy_bank{'LOCAL'} = {
>     originating => 1,
>     final_spam_destiny => D_BOUNCE,
>     final_virus_destiny => D_REJECT,
>     final_banned_destiny=> D_PASS,
>     final_bad_header_destiny => D_PASS,
>     banned_filename_maps => ['MYNETS-DEFAULT'],
>     warnbadhsender => 1,
> };
> 

Danke für die Erklärung!

> 
> p at rick
> 

  Andreas

Mehr Informationen über die Mailingliste Postfixbuch-users