[Postfixbuch-users] Mailrelay(schon wieder)

Di Sep 23 20:38:32 CEST 2003

* Halldor Becker <hb.becker at web.de>:
> 
> Hallo zusammen,
> 
> ich ersetze gerade Sendmail durch Postfix und brauche mal Expertenrat.
> 
> Es ist ein Mailrelay in einer DMZ, mit offizieller IP-Adresse. Die Mails
> werden von dort an einen Mailserver im Intranet (private IP-Adressen)
> zugestellt.

Na, das ist ja mal ein einfaches setup.

> mynetworks so richtig?
Das weisst nur du. 

> mydestination habe ich ganz weglassen, so richtig?

Ja

> /etc/postfix/access beinhaltet so einige spezielle Adressen,die geblockt
> werden sollen.

Wieder diese SuSE Unsitte. Du sollst nicht Äpfel mit Birnen vergleichen.

> verschiedene andere Domains sollen ebenfalls über diesen Mailserver relayen
> dürfen. 

Alle in relay_domains listen

> Die internen Zielmailserver liegen jeweils in privaten Netzen hinter
> der Firewall. Kann man das so machen, wie in der Datei
> /etc/postfix/relaydomains dargestellt?
> Ist die Reihenfolge der smtpd_recipient_restrictions so richtig, oder muss
> der Parameter "permit_mynetworks" unterhalb von "reject_unauth_destination"
> stehen?

Ich hoffe dies ist eine Scherzfrage :)

> maps_rbl_domains =
>   relays.osirusoft.com,
>   proxies.relays.monkeys.com,
>   roxies.blackholes.wirehub.net,
>   dsn.rfc-ignorant.org,
>   postmaster.rfc-ignorant.org,
>   unconfirmed.dsbl.org,
>   list.dsbl.org

Damit wirst Du nicht viel Mail kriegen. Keine, um genau zu sein.
relays.osirusoft.com ist abgeschaltet und gibt fuer jede IP einen
Record zurueck...

dsn.rfc-ignorant.org,
postmaster.rfc-ignorant.org,
kann man so nicht nutzen. Dazu brauchst Du reject_rhbl_sender

roxies.blackholes.wirehub.net,
gibt es nicht

> mydomain = my-domain.de
> myhostname = mail.my-domain.de
> mynetworks = 127.0.0.0/8, 192.168.90.0/24

D.h. du relayst fuer 192.168.90.*

> smtpd_recipient_restrictions =
>   check_sender_access hash:/etc/postfix/access,

Gefaehrlich. Jedes OK darin macht Dich zu einem Offenen Relay

>   check_recipient_access hash:/etc/postfix/access,
>   permit_mx_backup,
>   reject_non_fqdn_sender,
>   reject_non_fqdn_recipient,
>   permit_mynetworks,
>   reject_unauth_destination,
>   reject_invalid_hostnames,
>   reject_non_fqdn_hostnames,
>   reject_unknown_sender_domain,
>   reject_unknown_recipient_domain,
>   reject_unauth_pipelining,
>   reject_maps_rbl

Sieht gut aus. Dir als Sendmail Geschaedigtem empfehle ich aber eher:

smtpd_recipient_restrictions =
   permit_mynetworks,
   permit_mx_backup,
   reject_unauth_destination,
   check_sender_access hash:/etc/postfix/sender_access,
   check_recipient_access hash:/etc/postfix/recipient_access,
   ...

-- 
Ralf Hildebrandt (Im Auftrag des Referat V a)   Ralf.Hildebrandt at charite.de
Charite Campus Mitte                            Tel.  +49 (0)30-450 570-155
Referat V a - Kommunikationsnetze -             Fax.  +49 (0)30-450 570-916
AIM: ralfpostfix