[Postfixbuch-users] POSTFIX liefert fremde Post aus? Hack?

Sandy Drobic postfixbuch-users at japantest.homelinux.com
Mi Jan 30 19:48:40 CET 2008 

Oliver Strixner wrote:
> Hallo,
> 
> ok hier die Log-Daten leider ein bisschen viel, da ich nicht weiß ab wann
> es
Euch genügt. Wo kann ich eine solch eine Mail rauskopieren?
> 
> "reject_non_fqdn_destination,"
> 
> soll ...recipient heissen.
> 
> Danke einen Fehler weniger, hatte Warns ausgegeben. Es ist laut mailgraph
etwas ruhiger, d.h. normal geworden. Die Masse der Log-Einträge ist nach wie
vor extrem hoch.
> 
> Prinzipielle Frage:
> 
> Kann ich den Mail server so konfigurieren, das er sich nur um eMails
kümmert, die bei mir gehostet sind also entweder ales Empfänger oder Absender
Adresse auftauchen. Und alle anderen werden einfach abgewiesen und erst gar
nicht bearbeitet. Geht das wenn ja wie? Beispiel-Konfigs wären prima.

Das ist der normale Aufbau, wenn du Postfix nicht verkonfigurierst.


> postconf -n NEU
> alias_database = hash:/etc/aliases
> alias_maps = hash:/etc/aliases
> append_dot_mydomain = no
> biff = no
> broken_sasl_auth_clients = yes
> config_directory = /etc/postfix
> content_filter = amavis:[127.0.0.1]:10024
> inet_interfaces = 1.2.3.4

Liefert Amavisd-new die Mails an die IP 1.2.3.4 wieder zurück oder braucht es 
doch 127.0.0.1? Änderungen bei inet_interfaces werden erst dann übernommen, 
wenn man Postfix komplett stoppt und wieder startet.

> mydestination = localhost, xxx.yyy.zzz

Dies sind die Domains, für die dein Server Mails entgegen nimmt, und die 
gültigen Empfängeradressen sind in /etc/passwd und /etc/aliases eingetragen.

> mydomain = yyy.zzz
> myhostname = xxx.yyy.zzz
> mynetworks = 1.2.3.4, 127.0.0.1
> mynetworks_style = host

Mynetworks_style wird ignoriert, wenn du mynetworks explizit setzt. Lösche es.

> myorigin = /etc/mailname
> non_fqdn_reject_code = 554
> receive_override_options = no_address_mappings
> recipient_delimiter = +
> relay_domains_reject_code = 554

Wozu dieser Parameter? Was du stattdessen lieber machen solltest ist:
relay_domains =

Damit setzt du, dass es keine Relay_domains bei dir gibt. Default ist, dass 
alle Subdomains von der Domain in mydestination relay_domains sind. Gültige 
Adressen von relay_domains sind in relay_recipient_maps.
Und dieser ist per Default leer, also wird jede Adresse darin angenommen. :-((

> smtp_helo_name = xxx.yyy.zzz
> smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
> smtpd_helo_required = yes
> smtpd_recipient_restrictions = permit_mynetworks,            reject_non_fqdn_recipient,            reject_non_fqdn_sender,            reject_non_fqdn_hostname,            reject_invalid_hostname,            reject_unknown_sender_domain,            reject_unknown_recipient_domain,            reject_unauth_pipelining,            permit_sasl_authenticated,            reject_unauth_destination,            reject_rbl_client multi.uribl.com,       reject_rhsbl_sender dsn.rfc-ignorant.org,            reject_rbl_client dul.dnsbl.sorbs.net,            reject_rbl_client list.dsbl.org,            reject_rbl_client sbl-xbl.spamhaus.org,            reject_rbl_client bl.spamcop.net,            reject_rbl_client dnsbl.sorbs.net,            reject_rbl_client cbl.abuseat.org,            reject_rbl_client ix.dnsbl.manitu.net,            reject_rbl_client combined.rbl.msrbl.net,            reject_rbl_client rabl.nuclearelephant.com,            check_policy_service inet:127.0.0.1:60000,      
      permit

Diese Liste an RBLs kommentiere ich lieber nicht. (^-^)

> smtpd_sasl_auth_enable = yes
> smtpd_tls_cert_file = /etc/postfix/smtpd.cert
> smtpd_tls_key_file = /etc/postfix/smtpd.key
> smtpd_use_tls = yes
> strict_rfc821_envelopes = yes
> unknown_address_reject_code = 554
> unknown_client_reject_code = 554
> unknown_hostname_reject_code = 554
> unknown_local_recipient_reject_code = 554
> unknown_relay_recipient_reject_code = 554
> unknown_virtual_alias_reject_code = 554
> unknown_virtual_mailbox_reject_code = 554
> unverified_recipient_reject_code = 554
> unverified_sender_reject_code = 554
> virtual_alias_domains = $virtual_alias_maps

Warum das? Wenn du nach der alten Syntax virtual_alias_domains in 
virtual_alias_Maps definierst, dann brauchst du diesen Eintrag nicht.
Ohnehin solltest du sie besser herausnehmen aus virtual_alias_maps und
explizit in virtual_alias_domains listen, das macht die Konfig erheblich 
transparenter.

> virtual_alias_maps = mysql:/etc/postfix/mysql-virtual_forwardings.cf mysql:/etc/postfix/mysql-virtual_email2email.cf

Hier gibt es gute Möglichkeiten, sich die Empfängervalidierung zu zerschießen. 
Wenn du hier irgendwo ein
@example1.com	@example2.com
hast, dann bekommst du genau diese unzustellbaren Mailbounces.

Eine kleine Testaufgabe:

mache für jede deiner Domains in virtual_alias_domains einmal diesen Test:
postmap -q does-not-exist at example.com 
mysql:/etc/postfix/mysql-virtual_forwardings.cf
postmap -q does-not-exist at example.com 
mysql:/etc/postfix/mysql-virtual_email2email.cf

Anstelle von example.com halt deine Domains durchprobieren. Wenn ein Ergebnis 
kommt, hast du für eine Domain eine kaputte Empfängervalidierung.

> virtual_gid_maps = static:5000
> virtual_mailbox_base = /home/vmail
> virtual_mailbox_domains = mysql:/etc/postfix/mysql-virtual_domains.cf
> virtual_mailbox_maps = mysql:/etc/postfix/mysql-virtual_mailboxes.cf
> virtual_uid_maps = static:5000
> 
> 
> 
> BEGINN MAIL LOG
> 
> 
> Jan 30 16:40:21 isys01 postfix/qmgr[9616]: EA408243EDB: from=<rdc009 at pub.nt.jsinfo.net>, size=4143, nrcpt=1 (queue active)
> Jan 30 16:40:21 isys01 postfix/qmgr[9616]: EA0B36A529B: from=<>, size=6871, nrcpt=1 (queue active)
> Jan 30 16:40:21 isys01 postfix/qmgr[9616]: E3F356A689F: from=<>, size=5886, nrcpt=1 (queue active)
> Jan 30 16:40:21 isys01 postfix/qmgr[9616]: E992A244069: from=<bplantz at fdmmag.com>, size=4103, nrcpt=1 (queue active)
> Jan 30 16:40:21 isys01 postfix/qmgr[9616]: E2FB5242E36: from=<>, size=4868, nrcpt=1 (queue active)
> Jan 30 16:40:21 isys01 postfix/qmgr[9616]: E546F6A70F0: from=<globaldis at ctgred.net.co>, size=4061, nrcpt=1 (queue active)
> Jan 30 16:40:21 isys01 postfix/qmgr[9616]: E81FC6A5374: from=<>, size=6816, nrcpt=1 (queue active)

Interessant ist, wo dieser ganze Block von Mails herkommt. Das stand leider 
nicht hier dabei. Die Mails kamen vermutlich vorher rein, bouncen weil 
ungültiger Empfänger und werden dann an die gefälschten Absender 
zurückgeschickt. Typisches Backscatter.


-- 
Sandy

Antworten bitte nur in die Mailingliste!
PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com

Mehr Informationen über die Mailingliste Postfixbuch-users