[Postfixbuch-users] Mails über smtp relay empfangen teil2

MK at-entertainment at gmx.net
Mi Dez 12 14:04:51 CET 2007


MK wrote:
> Hallo Liste!
> 
>  > >Bei meinem letzten Problem habt ihr mir super geholfen, dafür möchte
>  > >ich ich erst mal bedanken!
>  > >Server läuft, ein ubuntu 7.10  Courier läuft, imap funktioniert mit
>  > >tls verschlüsselung, pop3 nur ohne tls.  aber das scheint wohl ein
>  > >bekannter bug zu sein, der mit dem tls zu tun hat.  Das ist auch an
>  > >der Stelle erst mal egal, ich habe da etwas anderes was mich VIEL
>  > >mehr beschäftigt...  Erst mal zu dem Szenario:  Und zwar habe ich
>  > >mein Postfixserver in einem lokalen netz stehen; sämtlicher verkehr
>  > >ins und aus dem internet läuft über den gateway, einer astaro
>  > >firewall. von  aussen ist der server direkt über eine öffentliche IP
>  > >erreichbar, die mails werden von der astaro abgefangen und auf spam
>  > >und viren geprüft.
>  > >dann werden sie an meinen server weitergeleitet.  natürlich kommen
>  > >die  mails wieder über den gateway. jetzt habe ich folgendes problem:
>  > >Im Prinzip soll Postfix die Mails von dem SMTP relay uneingeschränkt
>  > >annehmen möglichst ohne tls und auth.  der restliche verkehr der
>  > >übrig bleibt, sind die user, die sich aus dem web auf den server per
>  > >auth und tls einwählen sollen, um ihre mails zu verschicken.  nu
>  > >isses aber doch so: wenn jetzt ein benutzer einfach eine andere
>  > >glaubwürdige Adresse vortäuschen, braucht er nicht mal username und
>  > >password, um eine mail an einen account auf meinem server zu
>  > >schicken, da der server ja im regelfall über die regeln angehalten
>  > >ist, nur auf die Möglichkeit der Gültigkeit der angegebenen Daten zu
>  > >prüfen. wenn die gegeben ist, wird der server keine smtp authprüfung
>  > >brauchen, um die mail als vertrauenswürdig einzustufen, so wie es im
>  > >regelfall auch von externen mails der fall ist.  Kann man an der
>  > >stelle ein reverselookup machen und danach entscheiden lassen, ob
>  > >eine authentifizierung stattfinden soll oder nicht? Ich bin schon
>  > >ganz matsch im Kopf.  wie kann der server unterscheiden, ob die mail,
>  > >die lokal zugestellt werden soll, vom relay ist, oder von einem
>  > >eingewählten user?
>  > >wenn der smtprelay sich authentifizieren würde auf meinem server,
>  > >würden dann nicht die absendeadressen automatisch in die dem account
>  > >des relays zugehörige adresse umgewandelt werden?  AHHH :D
> 
>  > >Ich weiss echt nicht weiter.. für einen Rat wär ich sehr dankbar!!
> MK schrieb:
> 
> Tztztz der Tag war wohl sehr lang *gg
> Ich versuchs mal auseinander zu Pflücken
> 
>  > > ich habe noch ein paar details vergessen.  also der mx eintrag liegt
>  > > nicht auf meiner öffentlichen ip, sondern auf dem zentralen
>  > > mailserver/smtprelay von meinem anbieter.
> 
> Und was ist daran nicht öffentlich ?
> 
>  > > Das heisst, wenn jemand sich
>  > > bei mir per pop oder smtp einwählt, nimmt er die öffentliche 
> adresse von
>  > > meinem server, nicht die adresse von dem smtp meines anbieters.
> 
> Also Fremde liefern an den Server des Anbieters deine User haben als 
> POP3 und SMTP Server
> in Ihrem MUA deine IP stehen?
> Du bekommst die Mails von deinem Anbieter weitergeleitet oder holst die ab.
> 
>  > >  kann
>  > > man die interne adresse von dem smtprelay meines anbieters 
> vielleicht so
>  > > eintragen, das auth und tls nicht von ihm verlangt wird?
> 
> Klar unter mynetworks die IP eintragen
> und in den Restriction permit_mynetworks damit kommt Ok und er darf senden
> 
> vorher evtl. prüfen ob es die Mailadressen auch wirklich bei dir gibt 
> bzw. die gültigen
> Mailadressen immer auch auf dem annehmenden Server pflegen.
> 
> 
> das andere war zu verquer das klamüser ich nicht mehr auseinander
> 
>  > > ich geh jetzt
>  > > pennen, macht nu eh keinen sinn mehr.
> 
> Da geh ich jetzt auch hin
> 
> 
>  > >
>  > > Gute Nacht
>  > >
>  > > Gruß Markus K
> 
> Mit freundlichen Grüßen
> 
> Drießen
> 
> 
> Hallo danke für die Antwort!  Tut mir leid für die Beschreibung, war 
> schon einfach zu spät.  Ich werde das mal damit versuchen, den relay in 
> mynetworks einzutragen.. das erscheint mir jetzt auf jeden fall 
> einleuchtend!  ich habe mal mit dem admin bei meinem anbieter 
> gesprochen.  er hat mir die ipadresse von dem internen interface des 
> smtp-relay gegeben.
> Bis denne
> 
> Markus K
> 
> 
> 
Nachtrag:

ich versuche das netz mal zu veranschaulichen:


            :::,.,::.                  ,:::::.
          .:        ,:               :,      .,:
          i          :,             ;          .i
         i. meine ip  7            .: smtp ip    i
         L öffentlich iF           :F öffentlich q.
         ::,        .:i            .7.         ,v
         :  .,....,,  i            .. ,:,...,:, :.
         :   .:ii:,   r            .:   .....   :.
         :..,      ,, i            .:           :.
         iY          rv            .:           :.
   i,::,.Y            P.,::::::::,.7,           :i.,,,i
  .:     ;:          .j            :i           r,    7  DMZ von meinem 

  .,     :L.         rr          .i,:.,,,,,,,,,.:,.,; r
  .,     : .:..  ..:. i          :.                 r r  Anbieter 

  .,     :.  ..,,..   r          :,                 r r
  .,     i.           r          :,  SMTP RELAY     r r
  .,     i.           r          :,  schickt an     r r
  .,     i.           r          :,  meine DMZ      r r
  .,     i.           r          ,.  interne IP an  r r
  .,     :.   ..,..   ;           .  Port 25 Mails  r r
  .,     : .:,.  ..:. :         iG                  r r
  .,     :v.         ii  :YEBBBBBB,  ............. .7 r
  .,     rr           BBBBBBBBP7:                     7
   r,,,,.u,           BBqL:.      ...................,r
         rj          ;r
         :.,.      .:.:
         :   ,:,,,,.  i   Geroutete Verbindung in die DMZ 

         ;.           7
       7.::,,,,,,,,,,,i.:i
      .i                 r
      .:                 r
      .i                 r
      .i   Mein server   r
      .i                 r
      .i                 r
      .i                 r
      .i                 r
      .i                 r
       :                 i


Die interne interface ipadresse des SMTP-Relay in my-networks 
einzutragen funktioniert leider nicht, muss wohl an der gerouteten 
Verbindung dazwischen liegen.  Was haltet ihr von der Möglichkeit, dass 
ich Benutzeranmeldungen, die über meine öffentliche IP gehen, intern auf 
Port 1025 gemappe. dann lass ich zwei Instanzen von Postfix laufen; 
eine, die auf Port 25 die Mails vom SMTP-Relay ohne auth und tls 
entgegen nimmt, und eine Instanz, die von Port 1025 die 
Benutzeranmeldung per tls und auth erledigt.  Ich habe auch schon eine 
nette Powerpointpräsentation von Ralf Hildebrand zu dem Thema gefunden.

Gruß Markus K.



Mehr Informationen über die Mailingliste Postfixbuch-users