Macht cluebringer mein postfix zum open realay?

Harald Witt harald.witt at dpfa.de
So Nov 22 13:32:34 CET 2015


Hallo Liste,

folgende Ausgangssituation:

1. smtpd_recipient_restrictions =  permit_sasl_authenticated,
2.                                check_recipient_access
mysql:/etc/postfix/mysql.valid_recipients.cf,
                                …

Authentifizierte Benutzer dürfen überall hin senden. Bei allen anderen wird
per mysql überprüft, ob es den Benutzer überhaupt gibt. Funktioniert soweit
prima.

Jetzt kommt cluebringer ins Spiel:

smtpd_recipient_restrictions =  check_policy_service inet:127.0.0.1:10031,
                                permit_sasl_authenticated,
                                check_recipient_access
mysql:/etc/postfix/mysql.valid_recipients.cf,
                               ...

In cluebringer sind per default alle Module aktiv. Ich habe aber nur die
Quotas konfiguriert, um den Missbrauch von kompromittierten E-Mail-Accounts
zu unterbinden. Leider ist mein postfix jetzt ein open relay und nimmt alles
für jeden Empfänger an. Der mysql-Test wird nicht ausgeführt, als wenn
cluebringer immer ein permit zurückgibt (Die Quotas funktionieren aber
prima).

Ich habe daher in cluebringer eine AccessControl derart derfiniert, dass
alle Quelladressen mit !%internal_domain und dem Ziel !%internal_domain ein
reject bekommen. Klappt auch super.

Jetzt sende ich von einer externen Adresse aus eine Mail an
unbekannt at meine_domain.de. Die Nachricht wird korrekt VOR der queue mit
"user unknown" abgelehnt. Das heißt, dass der mysql-Test jetzt wieder
korrekt ausgeführt wird. Ich weiß nur nicht warum? Und warum vorher (ohne
AccessControl) nicht?

Wenn es so ist, dass cluebringer in der Standardconfiguration ein permit
zurückgibt, wäre das ein riesiges Sicherheitsloch. Kann ich mir ehrlich aber
nicht vorstellen. Hat da jemand eine Erklärung?

Danke
Harald




Mehr Informationen über die Mailingliste Postfixbuch-users