[Postfixbuch-users] Open Relay trotz mynetworks-configuration ?

Rudi Floren rudi.floren at googlemail.com
Di Feb 26 14:08:35 CET 2013


Am 26. Februar 2013 14:00 schrieb <swdld at gmx.net>:

>
> > Ich sehe einer Adresse nicht an, ob sie statisch oder dynamisch vergeben
> > wurde.
>
> ==> Ich schon, wenn eine öffentliche IP in mynetworks erscheint, dann
> macht es doch wenig Sinn, dazu ermittelt zu haben, welche IP man gerade von
> seinem Provider zugeteilt bekommen hat, sondern schreibt da natürlich nur
> statische IP's hinein. Oder?
> ------------------------------------------------------
>
>
> > >>>> und als Letztes interessiert nicht die Mailque. Was im Logfile steht
> > >>>> ist wesentlich interessanter und gibt Aufschluss darüber wie die
> > >>>> Mails in der Mailque gelandet sind.
> > >>>
> > >>> ==> Eben genau das WIE steht dort nicht.
> > >>> -------------------------------------------------
> > >>
> > >> Muss es aber, siehe den Hinweis von Ralf.
> > >
> > > ==> Per SMTP ist doch nicht die interessierende Antwort, oder? Wenn nur
> > die Ports 53 und 25 offen sind, dann ist ja z.B. selbst per ssh kein
> > Einbruch zu befürchten. Es bleibt doch sowieso nur SMTP übrig. Also sehe
> ich
> > darin keinen Wissensgewinn. Die Frage für michist WIE per SMTP eine IP
> sich
> > Zugriff verschaffen kann, wenn sie NICHT in den mynetworks-Netzen
> steht!!!
> > Und da sehe ich im Log KEINEN Hinweis, WIE das passieren konnte.
> > > -------------------------------------------------
> >
> > Meine Nerven. Dass über Port 25/smtp eingeliefert wird, ist fast klar.
> > In den Logs steht, wer eingeliefert hat - also ob es ein lokaler User
> > war, einer User/Host aus mynetworks oder einer von außen. Ja, auch in
> > mynetworks können Spammer stehen. Wenn unsere Wissenschaftler aus der
> > Mongolei zurückkommen, bringen sie meist eine hybsche internationale
> > Virensammlung mit, auf jedem Laptop.
>
> ==> Unter mynetworks stehen öffentliche IP-Nummern. MY bedeutet "meine".
> Das sind statische IP-Nummern die mir zugeteilt worden sind. Was ist denn
> das ständig für ein Problem??? Und wie sollen die Chinesen mir Viren von
> außen schicken, wenn doch mein Router weiß, auf welchem Interface der
> angegebene Netzbereich ist?
> -------------------------------------------------
>
>
> > >>>> Es fehlt die komplette Überprüfung wer unter welchen Umständen zu
> > >>>> welchen Bedingungen von Wo nach Wohin senden darf.
> > >>>
> > >>> ==> Wie gesagt, darum geht es nicht, sondern darum, warum eine IP
> > >> zugreifen kann, die NICHT in einem unter mynetworks definierten Netz
> > steht.
> > >>> -------------------------------------------------
> > >>
> > >> Na also, dann geht es doch genau darum, wer wann woher wohin senden
> > darf.
> > >
> > > ==> Darf ich jetzt gähnen? Wenn es eine logische Abfolge von Schritten
> > gibt, dann werde ich nicht in Schritt 2 versuchen, einen Fehler aus
> Schritt
> > 1 zu "heilen". So viel Systematik werde ich beibehalten, sorry.
> > > -------------------------------------------------
> >
> > Bist Du verständnisresistent :-)? "Wer" ist der 1. Schritt, und das
> > "Wer" funktioniert doch schon nicht. Ganz offensichtlich ist es nicht
> > auf mynetworks beschränkt, das sollte Dir doch inzwischen klar sein.
>
> ==> Mittlerweile
> -------------------------------------------------
>
>
> > >>>> Schau dir die Basics an und konfiguriere erst mal den Mailserver
> > >>>> durch.
> > >>>
> > >>> ==> Danke für den Tip. Genau da bin ich dabei und merke, daß anders
> > >> als ich Heinlein verstanden habe, mynetworks NICHT auszureichen
> > >> scheint, eine IP vom Zugriff auszuschließen.
> > >>> -------------------------------------------------
> > >>
> > >> Ja, scheint so. Wenn die smtpd_*_restrictions nicht gerade lauten
> > >> "permit_mynetworks, reject" gibt es noch weitere Zugangskriterien als
> > >> die IP-Adresse. Man sollte so ein Postfixbuch versuchen zu verstehen,
> > >> bevor man anfängt, einen Postfixserver aufzusetzen. Und sich
> > vielleicht
> > >> auch mal fragen, warum der Abschnitt über die restrictions so
> > >> umfangreich ist.
> > >
> > > ==> Könntest Du Dich vielleicht dazu äußern, OB es eine logische
> > Schrittabfolge giebt, die in einem zeitlich früheren Schritt mynetworks
> > klärt, abweist/ blockt oder wie auch immer abwehrt UND DANACH (später)
> die
> > restrictions abarbeitet? Dann wäre was geholfen.
> > > Die Frage der EXISTENZ einer LOGISCHEN ABFOLGE ist doch hier die Frage.
> > >
> >
> > Diese logische Abfolge ist in Peers Buch (das ich meist benutze)
> > eigentlich sehr gut dargelegt. Natürlich gibt es sie, und sie wird im
> > Buch mit ein langen Listen von smtpd_*_restrictions aufgezeigt.
>
> ==> Eben nicht: Es gibt scheinbar NICHT einen ersten Schritt, wo nicht in
> mynetworks enthaltene IP-Nummern per se geblockt werden, sondern es gibt
> ausschließlich die Logik in den restrictions. Und eben dort und nur dort
> wird geblockt oder freigeschalten.
>
> Die restrictions sind dein erster Schritt um einer IP den Zugang zu
verweigern.
Verstehe die restrictions als deine ACLs

mynetworks ist nur eine Variable die hier und da als default angegeben ist.
(Stimmt doch peer, oder?)
Du kannst sie auch sinlose_ips_meines_netzwerks nennen. Musst dann aber
alle vorkommen von $mynetworks in den default einstellungen ändern.


> --
> _______________________________________________
> Postfixbuch-users -- http://www.postfixbuch.de
> Heinlein Professional Linux Support GmbH
>
> Postfixbuch-users at listen.jpberlin.de
> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
>
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20130226/222713bf/attachment.html>


Mehr Informationen über die Mailingliste Postfixbuch-users