[Postfixbuch-users] Exchange soll über Postfix versenden -> Relay access denied;

Michael Köhler postfixbuch-users at makomi.de
Fr Feb 18 20:56:30 CET 2011


Hallo Ronny,

On 18.02.2011, at 19:57, Ronny Seffner wrote:

>> Ich denke schon, das man das Problem mit TLS lösen kann, zumindest habe
> Sein Problem ist "relay access denied". Das liegt daran, dass der dynIP
> Exchange nun nicht mehr in mynetworks oder relay_hosts auftaucht. Den kann
> man da auch schlecht eintagen, da die IP ja alle 24h ne andere ist. Entweder
> mach man einen der genannten Parameter nun für das gesamte Netz auf (und das
> kann je Provider groß werden) oder man stellt sicher, dass man den Client
> irgendwie erkennt.

richtig.

> Würde man wie Du TLS einrichten und könnte man irgendwie allen TLS-Clients
> relaying erlauben, könnte immer noch jeder x-Beliebige per TSL herzukommen
> und den postfix missbrauchen - es sei denn, man arbeitet mit speziellen
> Zertifikaten auf meiner Seite.

Für beliebige TLS-Clients sollte man das natürlich auch nicht erlauben ...

> Ob man allerdings für bestimmte/alle
> TLS-Clients (allein über TLS definiert) relaying erlauben kann weiß ich
> nicht und schlage es jetzt nicht nach.

Brauchst Du nicht :) - Ich hatte es ja so laufen:

smtpd_tls_cert_file = /etc/postfix/sasl/cert.pem
smtpd_tls_key_file = /etc/postfix/sasl/key.pem
smtpd_tls_CAfile = /etc/postfix/sasl/cacert.pem
smtpd_use_tls=yes
smtpd_tls_ask_ccert = yes
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache

relay_clientcerts = hash:/etc/postfix/relay_clientcerts

smtpd_recipient_restrictions =
		permit_tls_clientcerts
		[...]

und in die Datei etc/postfix/relay_clientcerts den Fingerprint des Zertifikats, mit dem der Exchange kommt.

> Der übliche Weg ist, denn der Mail einliefert und kein bekannter (DNS, DKIM,
> SPF, ...) Mailserver ist um Authentifizierung zu "bitten", das macht SASL.

Klar, aber der Weg ist komplizierter (und m.E. unnötig)

Gruß,
Michael



Mit freundlichen Grüßen,

Michael Köhler
Sasstr. 36
04155 Leipzig
Tel.: +49-341-9106896




Mehr Informationen über die Mailingliste Postfixbuch-users