[Postfixbuch-users] [solved] Re: OT: dovecot bounce Absender
Oliver Pürsten
lists at puersten.de
Di Jul 29 10:20:37 CEST 2008
Peer Heinlein schrieb:
> Am Freitag, 25. Juli 2008 schrieb Oliver Pürsten:
>
>>>> Wie bring ich unserem Postfix denn bei das er diese leeren Sender
>>>> durchlässt? Die Absenderauthentifizierung habe ich mit
>
> Ich verstehe die ganze Frage nicht.
>
> Postfix ist ja nicht doof. Postfix weiß doch, was ein Nullsender ist.
> Postfix LÄSST doch diese leeren Absender durch.
>
> Ich verstehe darum Dein Problem nicht. Postfix macht doch alles richtig?!
> Es gibt hier doch gar nichts extra umzusetzen!
>
>> Habe jetzt eine Lösung gefunden.
>> Ich habe vorher ein check_sender_access mit folgendem Inhalt eingebaut:
>>
>> <> OK
>>
>> Funktioniert wunderbar.
>
> Wenn Du das vor "reject_unauth_destination" eingebaut hast, dann ist das
> nicht wunderbar, sondern eine absolute Katastrophe, denn dann wärst Du
> ein Open Relay. Sender-Whitelistings sind böse, böse, böse.
>
> Peer
>
Moin Peer,
ich versuche nochmal zu erklären worum es genau geht.
Der Mailserver über dessen Config wir hier sprechen ist ein ausgehendes Mailrelay für unsere
Kunden. Wir haben jetzt um den Versand ein wenig sicherer zu gestalten zusätzlich eine
Absenderdomain-Authentifizierung eingebaut so das man nicht mit beliebigen Absendern
versenden kann.
Realisiert per smtpd_sender_restrictions und einem check_sender_access.
Dies hatte dann zur Folge das Nullsender nicht mehr durchgelassen wurden, was ich dann wie
beschrieben gelöst habe.
OpenRelay ist der Server aufjedenfall nicht, da achte ich schon drauf keine Angst.
Mir geht es ja darum die ganze Sache sicherer zu gestalten und nicht neue Lücken zu öffnen.
So sehen unsere Restrictions aus:
smtpd_helo_restrictions =
permit_mynetworks,
permit_sasl_authenticated,
reject_non_fqdn_hostname,
reject_invalid_hostname
smtpd_sender_restrictions =
check_sender_access hash:/usr/local/etc/postfix/mailerdaemon_whitelist
reject_non_fqdn_sender,
check_client_access hash:/usr/local/etc/postfix/senderdomains-ip-whitelist
check_sender_access proxy:mysql:/usr/local/etc/postfix/senderdomains.cf
reject
smtpd_recipient_restrictions =
reject_non_fqdn_recipient,
reject_unknown_recipient_domain,
permit_mynetworks,
permit_sasl_authenticated,
reject
mailerdaemon_whitelist = ist das oben beschrieben "<> OK" drin
senderdomains-ip-whitelist = Ausnahme für manche Hosts anhand der IP
senderdomains.cf = der eigentliche Check der Absenderdomain
mynetworks= hat eine Liste der IP's welche relayen dürfen
Ich bin für jeden Experten Tipp dankbar, wenn Du ne bessere Idee hast wie man das
umsetzen kann immer her damit.
Hoffe ich konnte das Problem so verständlich darstellen.
Gruß
Oliver
Mehr Informationen über die Mailingliste Postfixbuch-users