[Postfixbuch-users] RelayedOpenRelay

Patrick Ben Koetter p at state-of-mind.de
Sa Aug 13 23:33:05 CEST 2011 

* Andreas Meyer <postfixbuch-users at listen.jpberlin.de>:
> Ich beobachte gerade das log von amavis erschrecke ein wenig über folgende
> Zeilen:
> 
> Aug 13 21:59:44 mail.bitcorner.eu /usr/sbin/amavisd[12774]: (12774-03) Open relay? Nonlocal recips but not originating: users at lists.claws-mail.org
> Aug 13 21:59:44 mail.bitcorner.eu /usr/sbin/amavisd[12774]: (12774-03) Passed CLEAN {RelayedOpenRelay}, [46.115.0.64] [46.115.0.64] <anmeyer at anup.de> -> <users at lists.claws-mail.org>, Message-ID: <20110813215934.4e34382f at itx.bitcorner.intern>, mail_id: 4P1npJKf4kHv, Hits: -3.866, size: 1057, queued_as: DBD1036DCA52, 1741 ms
> 
> Was will mir  das mit dem {RelayedOpenRelay} sagen?

Das passiert immer dann wenn jemand claws nimmt, um Mails zu senden. Mit mutt
passiert das nicht ... ;)

Im Ernst: Das passiert wenn eine Mail an remote (non-local) Empfänger geht und
der Absender nicht als lokaler (originating) Sender identifiziert werden kann.

Eine derartige Konstellation entsteht, wenn jemand Dein Mailsystem mißbrauchen
kann und es somit ein Open Relay {RelayedOpenRelay} ist.

Sie entsteht aber auch - und das wird bei Dir wohl zutreffen - wenn Dein
Mailclient nicht über eine @mynetworks IP sendet oder keiner $policy_bank
zugeordnet wird die das ORIGINATING Flag setzt.

Statische IP
Wenn Du von einer statischen IP aus sendest, dann füge diese zu @mynetworks
hinzu.

Dynamische IP
Wenn Du SASL authentifiziert sendest rate ich Dir lokale Sender von remote
Sendern durch den Port auf den Mail submitted bzw. transferiert wird zu
trennen. Lokale submitten auf Port 587 und remote MTAs kommen wie gehabt auf
Port 25 rein.

Konfigurier Dir für lokale Sender den submission-Dienst in Postfix und sende
von dort alles auf einen dedizierten Port in amavis, den Du dann einer
$policy_bank zuordnest, die ORIGINATING setzt.

Eine Konfig könnte etwa so aussehen:

# Postfix 
submission inet n       -       n       -       32       smtpd
    -o smtpd_proxy_filter=[127.0.0.1]:10026
    -o smtpd_client_connection_count_limit=16
    -o smtpd_delay_reject=yes
    -o smtpd_sasl_auth_enable=yes
    -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject
    -o smtpd_tls_security_level=may
    -o milter_macro_daemon_name=ORIGINATING


# amavis
$inet_socket_port = [9998,10024,10026];
$interface_policy{'10026'} = 'LOCAL';

$policy_bank{'LOCAL'} = {
    originating => 1,
    final_spam_destiny => D_BOUNCE,
    final_virus_destiny => D_REJECT,
    final_banned_destiny=> D_PASS,
    final_bad_header_destiny => D_PASS,
    banned_filename_maps => ['MYNETS-DEFAULT'],
    warnbadhsender => 1,
};



p at rick


-- 
state of mind ()

http://www.state-of-mind.de

Franziskanerstraße 15      Telefon +49 89 3090 4664
81669 München              Telefax +49 89 3090 4666

Amtsgericht München        Partnerschaftsregister PR 563

Mehr Informationen über die Mailingliste Postfixbuch-users