[Postfixbuch-users] Open Relay trotz mynetworks-configuration ?

Di Feb 26 14:19:12 CET 2013

swdld at gmx.net [26.02.2013 13:03]:
>  
>  
>> du sollst postconf -n und master.cf ohne Kommentare einfach in deine
>> Mail an diese Liste packen. Fertig. Keine externen Links o.ä.
>  
> ==> Für's nächste Mal, gut. 
> Wenn das noch gewünscht ist, kann ich das jetzt noch nachholen, soll ich? 
> Die URLs sind übrigens auf einem eigenen Server. Damit meine ich einen der in meinen Räumen steht und nur ich Zugang habe. Aber das weiß natürlich von der IP-Nummer keiner. Vielleicht merkt man nur, daß die IP-Nummer im selben Netz sich befindet, wie der mynetworks-Wert. Also sieht man es doch? ...egal.
> ---------------------------------------------

Woher soll irgendjemand ahnen, wer Zugang zu dem Server hat? Vielleicht
bist Du der Meinung, dass sie physikalisch abgesichert sind, aber wenn
die ebenso gut konfiguriert sind wie der Postfix, sind da inzwischen
etliche Scriptkiddies mit Zugang versehen.

>  
>  
>>>> Kaum einer wird hingehen und wirklich irgendwelche "obskuren" links
>>>> zu öffnen.
>>>
>>> ==> Ich denke, daß wer einen Mailserver konfigurieren kann, auch das
>>> Internet benutzt, seine Rechner virenfrei halten kann usw., aber
>>> vielleicht irre ich mich da. Ich werde darüber nachdenken.
>>> Versprochen.
>>
>> hat nichts miteinander zu tun. Auch der größte Experte kann Opfer einer
>> noch unbekannten Sicherheitslücke werden.
>  
> ==> Ich habe einen Rechner, der auf Webseiten zugreift. Der ist ohne Netzverbindung zu den anderen Maschinen, hat keine wirklich interessanten Inhalte auf seinen Platten etc. Bei Problemen einfach mit DBAN Platte wischen und mit CloneZilla meine Standardinstallation drüber. Geht schnell, scheint 100% sicher. Wenn ich das kann, wieso muß ein Profi zittern? Das verstehe ich nicht, gehört aber nicht hier hin. 
> ---------------------------------------------

Das ist doch grober Unfug. Wenn der Rechner auf Webseiten zugreift,
hängt er im Internet. Dein Postfix-Server - ebenso wie die anderen -
hängt da auch. Also ist doch da schon Netzverbindung.

>  
>  
>>>> Ansonsten empfehle ich dir erst mal festzulegen und uns zu erklären
>>>> was dein Server tun soll.
>>>
>>> ==> Mein Server soll Mails verschicken. Insbesondere soll er kein
>>> Open Relay sein. Darunter ist zu verstehen, daß NIEMAND von außerhalb
>>> auf den Server zugreifen soll um "seine" Mails zu verschicken. Der
>>> Hinweis auf mynetworks sollte das klar machen. Heinleins Buch (3.
>>> Auflage) sagt deutlich, daß IPs außerhalb von mynetworks nicht
>>> zugreifen können sollten. Genau das scheint aber der Fall und genau
>>> das schildere ich als mein nicht abstellbares Problem. 
>>
>> permit_mynetworks ist der richtige Parameter dafür. Wenn der Server aber
>> nur aus deinem Netz annehmen soll und sonst nichts, gehört ans Ende in
>> jedem Fall ein "reject".
>  
> ==> Aha, ich habe eine Vermutung: mynetworks ist also keineswegs eine Definition, die generell den Zugriff durch außerehalb stehender IPs schon ausschließt, sondern nur eine Variable um später in den restrictions das eigene Netz komfortabler benennen zu können. Ist das so? Dann wäre klar, daß es KEINE Abfolge von logischen Schritten gibt, die entscheiden, sondern eine vorgelagerte Definition einer (und anderer) Variablen, diese Variable aber NICHT AUTOMATISCH zu einer Abweisung nicht enthaltener IPs führt, sondern später in den restrictions (so wie ja ettliches anderes auch) noch explitit angewiesen werden muß. Hmmm, ist das so? 
> ---------------------------------------------

Und ich saach noch: Lesen bildet.

>  
>> Was ist denn bitte
>> "check_relay_domains" für ein Parameter? In der Dokumentation taucht
>> dieser nicht auf. 
>  
> ==> Im Buch steht im Index auf Seite 764 Ein Verweis auf Seite 195, dort aber steht "nur" ein "$relay_domains" als Variable, mit der Bedeutung eines Erkennungszeichens, ob der host ein Relay sein soll. Hinter "check_relay_domains" vermute ich eher eine Prüfung, als eine Variable. 
> ---------------------------------------------

Copy & Paste ohne begriffen zu haben, was man da eigentlich macht, ist
keine empfohlene Vorgehnsweise für eine Konfiguration. Steht auch im
Buch, über der Zusammenfassung.

>>> Wenn die mynetworks-Konfiguration
>>> "übergangen" wird, dann scheint es mir unerheblich, was in den
>>> nachfolgenden restrictions steht, oder etwa nicht? 
>>
>> Nein. Am Ende steht immer "permit", ob's drinsteht oder nicht, spielt
>> keine Rolle. Solange vorher kein "reject" kommt, wird die Mail
>> angenommen. Außer in o.g. Fällen (smtpd_recipient_restrictions).
>  
> ==> Dito. Die Variable alleine scheint's noch nicht zu erledigen. 
> ---------------------------------------------

> ==> Ich mache mir gerne Arbeit, wenn es dabei Neues zu lernen gibt. Daß ich normalerweise Berater für Konzernstrategien bin, den CAN-Bus von ODB2-Systemen hacke, Allgemeine Geschäftsbedingungen wasserdicht mache oder einer von ettlichen anderen Tätigkeitsbereichen nachgehe, heißt noch lange nicht, daß ich mich gerne von gelangweilten Schulmeistern mit nihilistischen Texten anflapsen lasse. 

Ein Consultant! Ja dann...

-- 