[Postfixbuch-users] SMTP Auth & TLS erzwingen

Marcus V. postfix at blueblood.de
Sa Jul 2 14:20:58 CEST 2005


Hallo,

ich habe ein kleines Problem mit Postfix.
Wir liegen mit ca. 20 Personen auf einem kleinen Mailserver den ich administiere.
Auf dem Server läuft Postfix 2.2.2 und Fedora Core 4.
(gerade frisch aufgesetzt)

Jetzt möchte ich den Server für alle beteiligten so sicher wie möglich machen.
Also Zertifikate eingerichtet und den Server für SMTP Auth fit gemacht.

Soweit sogut.
Jetzt möchte ich erreichen das die Mitglieder des Server NUR noch per STARTTLS und SMPT Auth
Mails verschicken könnnen.
Die Mitglieder & die Domains sind ausschließlich in der virtuals eingetragen.

In Auszügen sieht meine main.cf so aus :

mynetworks = 127.0.0.0/8
relay_domains = $virtual_alias_domains
relayhost = [smtp.ish.de]
smtp_tls_note_starttls_offer = yes
smtp_use_tls = no
smtpd_banner = $myhostname ESMTP Spam are not allowed here !
smtpd_enforce_tls = no
smtpd_recipient_restrictions = 
 permit_sasl_authenticated,       
 reject_unauth_destination,      
 reject_invalid_hostname,   
 reject_unauth_pipelining,        
 reject_non_fqdn_sender, 
 reject_unknown_sender_domain,   
 reject_non_fqdn_recipient,      
 reject_unknown_recipient_domain,    
 reject_rhsbl_client blackhole.securitysage.com, 
 reject_rhsbl_sender blackhole.securitysage.com,     
 reject_rbl_client blackhole.securitysage.com,   
 reject_rbl_client relays.ordb.org,      
 reject_rbl_client blackholes.easynet.nl,    
 reject_rbl_client cbl.abuseat.org,      
 reject_rbl_client proxies.blackholes.wirehub.net,       
 reject_rbl_client bl.spamcop.net,   
 reject_rbl_client sbl.spamhaus.org,     
 reject_rbl_client opm.blitzed.org,      
 reject_rbl_client dnsbl.njabl.org,  
 reject_rbl_client list.dsbl.org,        
 reject_rbl_client multihop.dsbl.org,    
 reject_rbl_client dnsbl.sorbs.net
smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain = $mydomain
smtpd_sasl_security_options = noanonymous
smtpd_tls_auth_only = yes
broken_sasl_auth_clients = yes

Ich Privat kann das leider schwer testen, da die Maschine bei mir lokal steht.
Die Leute können Prima per Auth & TLS senden.
Nun sollen die aber wie oben beschrieben NUR so senden können.
Wenn die Leute externe Mails verschicken, also z.B. an @aol.de oder so dann geht das auch nur auf diese Methode,
wenn die aber "intern" das heißt an ein anderes Mitglied des Servers Mails schicken können die

1. mit TLS ohne Auth
2. mit TLS und Auth
3. ohne TLS mit Auth
4. ohne TLS ohne Auth

senden ... also auf jede erdenkliche Art.
Ich meine (siehe oben die Conf) eigentlich alles richtig gemacht zu haben.
Bin hier seit X Tagen am kämpfen ... ich komme nicht weiter ...

Wie kann ich die Leute dazu zwingen das die IMMER also intern und extern TLS und die Auth einschalten müssen ?
Geht das überhaupt was ich mir vorstelle ???
Wenn ich an den Einstellungen rumschraube werden teilweise Mails von
anderen Server mit Relay Access Denied abgewiesen.
Das darf natürlich nicht passieren ...

Für eure Hilfe wäre ich Superdankbar ...

Marcus ...




Mehr Informationen über die Mailingliste Postfixbuch-users