[Postfixbuch-users] Open Relay trotz mynetworks-configuration ?
swdld at gmx.net
swdld at gmx.net
Di Feb 26 13:03:48 CET 2013
> du sollst postconf -n und master.cf ohne Kommentare einfach in deine
> Mail an diese Liste packen. Fertig. Keine externen Links o.ä.
==> Für's nächste Mal, gut.
Wenn das noch gewünscht ist, kann ich das jetzt noch nachholen, soll ich?
Die URLs sind übrigens auf einem eigenen Server. Damit meine ich einen der in meinen Räumen steht und nur ich Zugang habe. Aber das weiß natürlich von der IP-Nummer keiner. Vielleicht merkt man nur, daß die IP-Nummer im selben Netz sich befindet, wie der mynetworks-Wert. Also sieht man es doch? ...egal.
---------------------------------------------
> >> Kaum einer wird hingehen und wirklich irgendwelche "obskuren" links
> >> zu öffnen.
> >
> > ==> Ich denke, daß wer einen Mailserver konfigurieren kann, auch das
> > Internet benutzt, seine Rechner virenfrei halten kann usw., aber
> > vielleicht irre ich mich da. Ich werde darüber nachdenken.
> > Versprochen.
>
> hat nichts miteinander zu tun. Auch der größte Experte kann Opfer einer
> noch unbekannten Sicherheitslücke werden.
==> Ich habe einen Rechner, der auf Webseiten zugreift. Der ist ohne Netzverbindung zu den anderen Maschinen, hat keine wirklich interessanten Inhalte auf seinen Platten etc. Bei Problemen einfach mit DBAN Platte wischen und mit CloneZilla meine Standardinstallation drüber. Geht schnell, scheint 100% sicher. Wenn ich das kann, wieso muß ein Profi zittern? Das verstehe ich nicht, gehört aber nicht hier hin.
---------------------------------------------
> Wenn du vorhast, die Konfig lieber irgendwo ins Internet zu posten,
> solltest du eher einen Dienst wie Pastebin o.ä. verwenden und keine
> Links senden, die auf irgendeine nicht bekannte IP-Adresse zeigen. An
> diese Liste sind schon extrem lange Verbose-Logs gepostet worden, das
> ist überhaupt kein Problem und keiner macht die einen Vorwurf, wenn du
> das machst (außer vielleicht es wäre völlig sinnfrei).
==> Siehe oben. Wußte ich nicht. Wenn noch gewünscht, kann ich's nachholen.
---------------------------------------------
> >> Ansonsten empfehle ich dir erst mal festzulegen und uns zu erklären
> >> was dein Server tun soll.
> >
> > ==> Mein Server soll Mails verschicken. Insbesondere soll er kein
> > Open Relay sein. Darunter ist zu verstehen, daß NIEMAND von außerhalb
> > auf den Server zugreifen soll um "seine" Mails zu verschicken. Der
> > Hinweis auf mynetworks sollte das klar machen. Heinleins Buch (3.
> > Auflage) sagt deutlich, daß IPs außerhalb von mynetworks nicht
> > zugreifen können sollten. Genau das scheint aber der Fall und genau
> > das schildere ich als mein nicht abstellbares Problem.
>
> permit_mynetworks ist der richtige Parameter dafür. Wenn der Server aber
> nur aus deinem Netz annehmen soll und sonst nichts, gehört ans Ende in
> jedem Fall ein "reject".
==> Aha, ich habe eine Vermutung: mynetworks ist also keineswegs eine Definition, die generell den Zugriff durch außerehalb stehender IPs schon ausschließt, sondern nur eine Variable um später in den restrictions das eigene Netz komfortabler benennen zu können. Ist das so? Dann wäre klar, daß es KEINE Abfolge von logischen Schritten gibt, die entscheiden, sondern eine vorgelagerte Definition einer (und anderer) Variablen, diese Variable aber NICHT AUTOMATISCH zu einer Abweisung nicht enthaltener IPs führt, sondern später in den restrictions (so wie ja ettliches anderes auch) noch explitit angewiesen werden muß. Hmmm, ist das so?
---------------------------------------------
> Außerdem:
> http://www.postfix.org/postconf.5.html#smtpd_recipient_restrictions
>
> " IMPORTANT: Either the smtpd_relay_restrictions or the
> smtpd_recipient_restrictions parameter must specify at least one of the
> following restrictions. Otherwise Postfix will refuse to receive mail:
>
> reject, reject_unauth_destination
>
> defer, defer_if_permit, defer_unauth_destination
> "
==> Danke, ja
---------------------------------------------
> Bei dir taucht keiner dieser Parameter auf. Warum die Mail überhaupt
> angenommen wird erschliesst sich mir im Moment nicht.
==> Das ist Kern meiner Frage.
---------------------------------------------
> Was ist denn bitte
> "check_relay_domains" für ein Parameter? In der Dokumentation taucht
> dieser nicht auf.
==> Im Buch steht im Index auf Seite 764 Ein Verweis auf Seite 195, dort aber steht "nur" ein "$relay_domains" als Variable, mit der Bedeutung eines Erkennungszeichens, ob der host ein Relay sein soll. Hinter "check_relay_domains" vermute ich eher eine Prüfung, als eine Variable.
---------------------------------------------
> Restriction Class? Aber wohl nicht definiert...
> >> Und dann bleibt da noch deine smtpd_recipient_restrictions, die
> >> sehen mehr wie dürftig aus.
> >
> > ==> Und (s.oben) die restrictions kommen doch erst ins Spiel, wenn
> > die IP Zugang bekommt!!!
>
> Nein: Denn du erlaubst zwar dein eigenes Netzwerk, aber alles andere
> auch, da du kein "reject" angegeben hast.
==> Es verdichtet sich: Es scheint sich also bei mynetworks tatsächlich um eine Variable zu handeln, die für sich noch nichts entscheidet! Und eben keine Variable, die garantiert dafür steht, daß "fremde" IP-Nummern ausgeschlossen werden.
---------------------------------------------
> > Wenn die mynetworks-Konfiguration
> > "übergangen" wird, dann scheint es mir unerheblich, was in den
> > nachfolgenden restrictions steht, oder etwa nicht?
>
> Nein. Am Ende steht immer "permit", ob's drinsteht oder nicht, spielt
> keine Rolle. Solange vorher kein "reject" kommt, wird die Mail
> angenommen. Außer in o.g. Fällen (smtpd_recipient_restrictions).
==> Dito. Die Variable alleine scheint's noch nicht zu erledigen.
---------------------------------------------
> > Übrigens heißt es
> > im Deutschen "genau so wie", aber "anders als" ;-)
>
> _Das_ interessiert an dieser Stelle hier überhaupt nicht. Auch nicht mit
> Smiley. Es geht um _deine_ Kiste die einfach nur grauenhaft eingerichtet
> ist. Etliche Leute wollen dir helfen und Grammatikregeln sind deine
> Antwort darauf?
==> Du hast Recht.
Und doch: Es gibt es Leute, die helfen, so wie Du, weil im Dialog die Dinge klar werden, sich nächste sinnvolle Schritte herauskristallisieren usw. Und dann gibt es wie ich sie nenne "Kaputtmacher", die nur immer darauf hinweisen, daß sie die Weisheit mit Löffeln gefressen haben, kaum was brauchbares zustandebringen außer "Du muß alles richtig machen". Ich habe schon mehr Lebenserfahrung zusammen, als es scheinen mag, aber schon seit der Schule weiß ich: Die Lehrer die den geringsten Durchblick haben, erklären einfche Dinge so umständlich, daß es keiner blickt. Gegen solche kann ich mich kleiner Spitzen nicht erwehren, sorry.
> >> und als Letztes interessiert nicht die Mailque. Was im Logfile
> >> steht ist wesentlich interessanter und gibt Aufschluss darüber wie
> >> die Mails in der Mailque gelandet sind.
> >
> > ==> Eben genau das WIE steht dort nicht.
>
> Nicht einfach behaupten, sondern posten. Überlass das denen, die davon
> Ahnung haben, davon gibt es hier auf der Liste mehr als genug. Darunter
> auch einige Buchautoren von Postfix-Standardwerken.
==> In vorheriger Mail schrieb ich Ausschnitte des Logs. SMTP steht da vermutlich als der Weg der Einlieferung. Da ich als einziger vor der Kiste sitze, nur Port 53 und 25 offen sind usw., ist das aber sowieso klar. Die Frage bleibt also: Wieso kann einer über 25 smtp zugreifen, wenn er außerhalb von mynetworks steht. Aber hier scheint es sich zu klären: Weil die Variable zu definieren, scheinbar noch nicht ausreicht.
---------------------------------------------
> >> Es gibt 2 SEHR gute DEUTSCHE Postfixbücher. Die erklären haarklein
> >> was wann wie und warum. Amazon oder eine Buchhandlung deiner Wahl
> >> sind gute Adressen um in den Besitz derer zu gelangen.
> >
> > ==> Ich habe Heinlein's in Auflage 2 und 3, das reicht mir.
>
> Hast du sie gelesen? Hast du sie verstanden?
==> Vor Jahren habe ich Auflage 2 gelesen, einen funktionierenden Server aufgesetzt, dann aber wieder einige Jahre den Dienst nicht gebraucht, den Server abgeschaltet. Nun brauche ich den Dienst erneut, Auflage 3 gekauft und beginne zu installieren auf der Basis des alten Scriptes. Habe ich das Buch verstanden? Das kann man nicht, ohne Praxis. Also mache ich das parallel. Vieles habe ich in der Auflage 3 fünf mal oder häufiger gelesen, insgesamt etwa 80% des Buches jeweils in Abschnitten. Sagen wir ich habe mich etwa 2,5 Wochen mit der Auflage 3 beschäftigt.
Wer was vor allem WIE versteht ist sehr subjektiv.
---------------------------------------------
> >> Es fehlt die komplette Überprüfung wer unter welchen Umständen zu
> >> welchen Bedingungen von Wo nach Wohin senden darf.
> >
> > ==> Wie gesagt, darum geht es nicht, sondern darum, warum eine IP
> > zugreifen kann, die NICHT in einem unter mynetworks definierten Netz
> > steht.
>
> Wo steht das? Richtig: Im Log. Und das hast du noch nicht gepostet.
> Einer der Lieblingssprüche von Wietse Venema auf der offiziellen
> Postfix-Liste lautet: "Where's the proof?"
> Also: schick uns den Beweis.
==> Ist bereits gepostet. Soll ich das ganze Log posten?
> permit_mynetworks _erlaubt_ IPs. Es schliesst keine IPs aus.
==> S.o.: Es verdichtt sich, daß die Variable alleine noch niemanden ausschließt.
---------------------------------------------
> Doku lesen:
> http://www.postfix.org/postconf.5.html#permit_mynetworks
> "Permit the request when the client IP address matches any network or
> network address listed in $mynetworks."
==> Gut, wie gesagt: mynetworks mit permit erlauben, heißt noch nicht die anderen verhindern - klar.
Den zweiten Absatz auf Seite 83 ...
"Die hier angegebenen IP-Nummern (..) dürfen dann später nach draußen relayen"
...müßte man also um einen Nachsatz erweitern
"Aber die nicht angegebenen IP-Nummern dürfen es auch." oder
"Trotzdem haben die nicht in mynetworks enthaltenen IP-Nummern weiterhin Zugriff auf den Server und können Mails einliefern." oder so ähnlich.
> >> Falls du das nicht möchtest beauftrage die Einrichtung des
> >> Mailservers. Das ist in der Regel günstiger wie sich Tagelang
> >> hinzuhocken bis das man es einigermaßen so hat wie man glaubt das
> >> es gehen könnte. Die spätere Pflege kannst du dann ja selbst
> >> übernehmen.
> >
> > ==> Wie soll eine Pflege funktionieren, wenn man die Konfiguration
> > nicht hinbekommt? Es gibt noch andere Aspekte die ich jetzt hier
> > nicht diskutieren möchte, da das hier ja nicht eine Psychotherapie
> > ist. (...günstziger "als"... - siehe oben)
>
> hat mit "Psychotherapie" nichts zu tun. Es kommen hier immer wieder
> Anfragen nach der Art "Ich hab keinen Bock einen Server zu
> administrieren, will aber unbedingt einen haben, nix dafür tun und
> können tu ich auch nix". Entsprechend kann die Reaktion einiger hier
> ausfallen, weil sie sich einfach Ihrem Frust mal Luft machen, wenn eine
> Anfrage nur danach aussieht. Das darfst du nicht _zu_ ernst nehmen, aber
> ernst solltest du es nehmen und die "harten Worte" einfach mal aufnehmen
> und kurz drüber nachdenken.
==> Ich mache mir gerne Arbeit, wenn es dabei Neues zu lernen gibt. Daß ich normalerweise Berater für Konzernstrategien bin, den CAN-Bus von ODB2-Systemen hacke, Allgemeine Geschäftsbedingungen wasserdicht mache oder einer von ettlichen anderen Tätigkeitsbereichen nachgehe, heißt noch lange nicht, daß ich mich gerne von gelangweilten Schulmeistern mit nihilistischen Texten anflapsen lasse.
In dem Sinne: Danke Dir für eine Reihe klärender Gedankenanstöße !
Mehr Informationen über die Mailingliste Postfixbuch-users