[Postfixbuch-users] abuse.net

Heiner Lamprecht heiner at heiner-lamprecht.net
So Sep 26 15:25:58 CEST 2004


On Sunday 26 September 2004 15:07, Daniel Sepeur wrote:
> Hallo Andreas,
>
> erstmal Danke für die Antwort. Aber einiges ist verstehe ich noch
> nicht
>
> so ganz ganz an Deiner Nachricht:
> > sasl hilft aber nix wenn die Mails z.B. über /usr/sbin/sendmail
> > o.ä. eingeliefert werden. Die nimmt Postfix ohne
> > Authentifizierung an, weil es
> > meistens dem lokalen Rechner traut. Wenn Du dem einhalt
> > gebieten willst,
> > musst Du schon die Befehle sperren.
>
> Das heisst, sendmail für jeden sperren und keine Mails mehr über
> php-programm bzw. perl-scripte akzeptieren?
> Wenn nicht, was meinst Du mit "Befehle sperren"?

sendmail selbst zu sperren, wird problematisch.  Manche Programme, 
wie z.B. cron, verschicken darüber Fehlermeldungen.

Aber es muss ja ein Skript geben, das der Webserver ausgeführt hat.  
Schau Dir das vielleicht mal an.  Wird das überhaupt benötigt?  
Darf überhaupt ein User derartige Skripte anlegen?

> > wwwrun dürfte Dein WebServer sein, den solltest Du zuerst mal
> > sicher machen.
> > Was bringt ne Holzhütte mit Panzertüren.
>
> Ja, wwwrun ist mein WebServer. Das ist richtig. Schon seit
> geraumer Zeit. Aber was heisst sicher machen? Meine Kunden wollen
> PHPen und PERLen und irgendwie wollen die auch mailen. Also
> müssen sie, wenn sie nicht auf den STMP-Server aufsetzen können
> mit ihren MailScripten, doch über Sendmail gehen.

Was sind das für Skripte?  Kann man da die Empfängeradresse selbst 
eingeben?  Oder dienen die als "Feedback-Formular"?  Dann wäre ja 
die Empfängeradresse fest und darf nicht, auch nicht durch einen 
entsprechenden Aufruf des Skriptes, geändert werden.

> Und da der 
> Apache unter wwwrun läuft, kann ich auch an anderer Stelle
> schlecht kontrollieren, welcher User jetzt Sendmail benutzt, was
> eh noch nicht geht. Ich meine jetzt von Postfix aus.

Stimmt.  An der Stelle hilft das wenig.

> > Weil Deine Apache offen ist.
>
> Das verstehe ich immer noch nicht so ganz. Klar, über wwwrun
> werden nach sendmail mails geschickt, wenn jemand ein WebFormular
> einsetzt. Logisch. Aber das ist eigentlich mehr oder weniger
> normal. Im Grunde wären doch die Skripte sicher zu machen nicht
> nicht die Möglichkeit zu entziehen, Sendmail generell zu
> benutzen.

Wenn Du das Versenden von Mails über Skripte prinzipiell erlauben 
willst, müssen, wie Du sagt, die Skripte selbst sicher sein.  Also 
auf jeden Fall die Empfängeradresse fest einstellen.  Ggf. kann man 
ja auch über eine Art Bremse nachdenken.  So nach dem Motto, mehr 
als x Mails pro y Minuten dürfen nicht verschickt werden.


    Heiner

-- 
     heiner at heiner-lamprecht dot net    GnuPG - Key: E05AEAFC
  Fingerprint:  257A DFBF 4977 4585 77A0  3509 973B 92AA E05A EAFC
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : nicht verfügbar
Dateityp    : application/pgp-signature
Dateigröße  : 189 bytes
Beschreibung: nicht verfügbar
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20040926/daad7d28/attachment.sig>


Mehr Informationen über die Mailingliste Postfixbuch-users