[Postfixbuch-users] Reihenfolge von Black-/Whitelisting und reject_unauth_destination in smtpd_recipient_restrictions

Sandy Drobic postfixbuch-users at drobic.de
Mo Aug 10 20:02:11 CEST 2009 

Michael Grimm wrote:
> Hallo -
> 
> Ralf Hildebrandt schrieb:
>> * Michael Grimm <trashcan at odo.in-berlin.de>:
>>>        permit_mx_backup,
>>
>> Wer braucht denn sowas?
> 
> Nun, das fand ich in Kapitel 8.8 ;-) Habe es jetzt noch einmal
> nachgelesen, und
> es scheint für mich nur dann von Relevanz zu sein, wenn mein Server als
> Backup
> für einen anderen diente. Habe ich wohl mit meinem Scenario (habe selbst MX
> Backups im DNS) verwechselt. Gegenfrage: Schadet der Eintrag? Potentielle
> Schwachstelle?

Der Check gilt als "deprecated", da er sich in der Tat ausnutzen lässt. Wenn
ich in meiner Domain deinen Server als zweiten MX eintrage, sagt
permit_mx_backup "OK" an der Stelle, wo du permit_mx_backup einträgst. Im
besten Fall kann ich dann die Spam-Checks umgehen, im schlimmsten Fall kann
ich deinen Server als Relay verwenden. Je nachdem, an welcher Stelle du
permit_mx_backup einträgst.

Generell wird es nicht ermutigt, da du damit eine Einstellung überprüfst, die
eventuell von einem nicht vertrauenswürdigen Dritten vorgenommen werden kann.

permit_mx_backup_networks erlaubt es dir, die IPs einzuschränken, für die
permit_mx_backup geprüft wird. Der Default ist jedoch leer.


> # -------------------------------------------------------------------------
> # white- and blacklisting
> # -------------------------------------------------------------------------
>         # check_client_access pcre:/usr/local/etc/postfix/access_client,
>         # check_helo_access pcre:/usr/local/etc/postfix/access_helo,
>         check_sender_access pcre:/usr/local/etc/postfix/access_sender,
>         check_recipient_access
> pcre:/usr/local/etc/postfix/access_recipient,
> # -------------------------------------------------------------------------

Ich würde diese Checks noch aufteilen auf die Rollen (Black- und Whitelists).
Zuerst die Whitelists und danach dann die Blacklists. Der richtige Ort ist nach:

...
reject_unauth_destination
reject_unlisted_recipient
reject_unverified_recipient
# hier die Whitelists


Damit wird nicht für ungültige Empfänger angenommen, aber die Whitelist nicht
durch einen anderen Eintrag ausgehebelt.

Ein weiterer Vorteil ist die Transparenz. Einem "access_sender" siehst du
nicht an, welche Einträge drinstehen. Einem "sender_blacklist" aber sofort.
Wenn die Konfig komplizierter wird, bist du für jedes bischen Transparenz dankbar.


-- 
Sandy

Antworten bitte nur in die Mailingliste!
PMs bitte an: news-reply2 (@)drobic (.) de

Mehr Informationen über die Mailingliste Postfixbuch-users