[Postfixbuch-users] Gültiger User sendet mit ungültiger Domain

Fabian Petzold mail at fabianpetzold.de
Fr Jan 20 11:20:38 CET 2012 

Hallo,

ich habe hier auf meinem Server gerade etwas ungewöhnliches beobachtet.

Ein Benutzer, mit Mailkonten für Domain abc.de - nennen wir ihn 
mustermann at abc.de - meldet sich per SMTP mit seinem Benutzerkonto und 
seinem Passwort auf dem Server an und versendet Mails mit der Adresse 
info at xyz.de.

Die Domain xyz.de ist überhaupt nicht auf dem Server registriert.
Folglich möchte ich auch nicht, dass der User Mails über diese Domain 
versendet (auch nicht wenn die Domain dieser Person gehört).

Ich vermute mal, dass hier etwas in den Restrictions in der main.cf in 
der falschen Reihenfolge ist, weiß aber nicht so genau was.
Ich denke, dass für den User permit_sasl_authenticated greift und er 
dann alles darf.


Muss ich reject_unauth_destination nach oben verschieben oder wie kann 
ich das verhalten abstellen.



Hier mal meine smtpd_recipient_restrictions:

smtpd_recipient_restrictions =
#Postmaster, abuse und andere Role-Accounts whitelisten
         check_recipient_access 
btree:/etc/postfix/lookup/access_recipient-rfc,
#White- und Blacklisting (alles Platzhalter, die leer sind)
         check_client_access cidr:/etc/postfix/lookup/access_client,
         check_helo_access btree:/etc/postfix/lookup/access_helo,
         check_sender_access btree:/etc/postfix/lookup/access_sender,
         check_recipient_access btree:/etc/postfix/lookup/access_recipient,
         check_recipient_mx_access cidr:/etc/postfix/lookup/mx_access,
# Keine unsauberen Mails annehmen!
         reject_non_fqdn_sender,
         reject_non_fqdn_recipient,
         reject_unknown_sender_domain,
         reject_unknown_recipient_domain,
# Unsere Nutzer erlauben!
         permit_sasl_authenticated,
         permit_mynetworks,
# RBL checken
         reject_rbl_client zen.spamhaus.org,
         reject_rbl_client ix.dnsbl.manitu.net,
         reject_rbl_client bl.spamcop.net,
         reject_rbl_client dnsbl.njabl.org,
         reject_rhsbl_client blackhole.securitysage.com,
# Policyd-Weight
         check_policy_service inet:127.0.0.1:12525,
# Wir prüfen dynamisch auf existierende Relay-Empfänger
         reject_unverified_recipient,
# Greylisting checken !
         check_policy_service inet:127.0.0.1:10023,
# Backup MX erlauben
         #permit_mx_backup,
# Alles andere Relaying verbieten!
         reject_unauth_destination,
# Was jetzt noch ist darf durch.
         permit





Vielen Dank

Mehr Informationen über die Mailingliste Postfixbuch-users