[Postfixbuch-users] reject_unauthenticated_sender_login_mismatch ignored no SASL support

Stefan Förster cite+postfix-buch at incertum.net
Do Jul 30 15:21:23 CEST 2009


* Holm Kapschitzki <holm at x-provi.de> wrote:
> Stefan Förster schrieb:
>> 1. Die Meldungen stammen von einem smtpd, bei dem Du z.B. via
>> master.cf "smtpd_sasl_auth_enable" auf "no" gesetzt hast. Dann wäre
>> das nur logisch, in dem Fall solltest Du für diese smtpd-Prozesse
>> eigene Restriktionen definieren.
> 
> xx.xx.89.34:25	inet	n	-  	n  	-  	25   	smtpd
>    -o content_filter=smtp:[127.0.0.1]:10024
>    -o receive_override_options=no_address_mappings
>    -o smtpd_sasl_auth_enable=no
>    -o smtpd_client_connection_rate_limit=5
>    -o smtpd_client_connection_count_limit=10
>    -o smtpd_client_message_rate_limit=20
> 
> Stimmt. Hier werden Mails eingeliefert und über die IP darf nicht
> gesendet werden von SASL Benutzern.

xx.xx.89.34:25 inet n n - 25 smtpd
  ...
  -o sasl_auth_enable=no
  ...

Das _kann_ nicht funktionieren (also klar, es funktioniert, es loggt
halt nur Warnungen): In main.cf wird eine SASL-Restriktion
angesprungen und der smtpd hat kein SASL aktiviert.

> Das mit der eigenen Restriktion habe ich ja probiert.
> 
> # Standard-IP
> xx.xx.89.34:25	inet	n	-  	n  	-  	25   	smtpd
>    -o content_filter=smtp:[127.0.0.1]:10024
>    -o receive_override_options=no_address_mappings
>    -o smtpd_sasl_auth_enable=no
>    -o smtpd_client_connection_rate_limit=5
>    -o smtpd_client_connection_count_limit=10
>    -o smtpd_client_message_rate_limit=20
>  -o smtpd_sender_restrictions=reject_authenticated_sender_login_mismatch
>  -o smtpd_sender_login_maps=hash:/etc/postfix/temp3

You're doing it wrong: Du kannst hier keine Restriktionen setzen, die
SASL benötigen, denn Du hast es abgeschaltet. Ich nehme an, Du suchst
"reject_unlisted_sender".

> Setze ich:
> 
>  -o smtpd_sender_restrictions=reject_authenticated_sender_login_mismatch
>  -o smtpd_sender_restrictions=reject_sender_login_mismatch

Das kann nicht klappen. Der letzte Wert zählt, und der wird, wie man
hier sehen kann:

> Jul 30 15:05:42 srv18 postfix/smtpd[29476]: warning: restriction
> `reject_unauthenticated_sender_login_mismatch' ignored: no SASL support
> Jul 30 15:05:42 srv18 postfix/smtpd[29476]: warning: restriction
> `reject_authenticated_sender_login_mismatch' ignored: no SASL support
> Jul 30 15:05:42 srv18 postfix/smtpd[29476]: warning: restriction
> `reject_authenticated_sender_login_mismatch' ignored: no SASL support
> Jul 30 15:05:42 srv18 postfix/smtpd[29476]: warning: restriction
> `reject_unauthenticated_sender_login_mismatch' ignored: no SASL support

in die zwei Restriktionen aufgeteilt, aus welchen
reject_sender_login_mismatch besteht.

Du verkomplizierst Dein Setup übrigens weiterhin dadurch, daß Du in
der main.cf smtpd_recipient_restrictions definierst, die SASL
benutzen (glaube ich mich zu erinnern) und in der master.cf weitere
solche bei den smtpd_sender_restrictions einsetzt.

Ich würde Dir dringend raten, hier Ordnung zu schaffen, also z.B. zu
benutzen:

xx.xx.89.34:25  inet    n   -   n   -   25  smtpd
    -o sasl_auth_enable=$plakativer_name_sasl_auth_enable
    -o smtpd_recipient_restrictions=$plakativer_name_recipient_restrictions
    -o syslog_name=plakativer_name
    ...

und diese dann in main.cf zu definieren:

plakativer_name_sasl_auth_enable = no
plakativer_name_recipient_restrictions =
    reject_unlisted_sender
    permit_mynetworks
    reject

Oder ähnliches. Aber so ist das echt die Hälle zum Debuggen vermute
ich. Die Werte der einzelnen Optionen sind natürlich frei erfunden.



Ciao
Stefan
-- 
Stefan Förster     http://www.incertum.net/     Public Key: 0xBBE2A9E9
FdI #148: Flame - Flames sind der dumpfe Knall, wenn die Schädeldecke auf die
Mauer aufschlägt. (Frank Hufschmied)



Mehr Informationen über die Mailingliste Postfixbuch-users