Re: Absenderverifikation für From-Header - gibt es da was Neues?

Kai Fürstenberg kai_postfix at fuerstenberg.ws
Do Apr 21 09:40:03 CEST 2016 

Hallo Max, hallo Robert,

kann es sein, dass ihr beiden im Moment SMTP-Dialog und E-Mail-Inhalt
total verwechselt oder durcheinander wurschtelt?

Von vorne:
reject_authenticated_sender_login_mismatch prüft nur im SMTP-Dialog und
funktioniert hervorragend. Kann man nicht aushebeln durch

> Dazu muss nur ein gültiger Absender während der SMTP-Transaktion als
> MAIL FROM angegeben werden

Wenn AUTH und MAIL FROM nicht zusammen passen, wird die Mail geblockt,
sonst geht sie durch. Punkt. Das gilt für authentifizierte und für nicht
authentifizierte Mail.

Davon ist aber der From-Header der E-Mail überhaupt nicht von berührt.
"MAIL FROM" und "From:" können völlig unterschiedlich sein, ist auch OK so.

Postfix kann Header überprüfen. Das sind dann aber header-checks und
keine smtpd_recipient_restrictions.

Am 20.04.2016 um 22:20 schrieb Robert:
> Auszug aus dem Debug-Log:
> -----------------------------------------------------------------------------------------------------
> --> 220 mx0.301-moved.de - Hello, I'm a little teapot!
> --> 250-mx0.301-moved.de
> <-- AUTH PLAIN ......
> --> 235 2.7.0 Authentication successful
> <-- MAIL FROM:<max at grobecker.info> RET=FULL ENVID=<c1e5c447-dea3-6e53-4773-8f5e919e9a20 at grobecker.info> BODY=8BITMIME SIZE=396
> --> 250 2.1.0 Ok
> <-- RCPT TO:<empfaenger> NOTIFY=SUCCESS,FAILURE,DELAY ORCPT=rfc822;empfaenger

Bis hier hin haben wir nur SMTP-Dialog. Kein Mail-Inhalt. Der kommt erst
nach DATA. smtpd_data_restrictions bringen hier aber auch nichts, es
wird immer noch nur der SMTP-Dialog geprüft. Sonst nichts.

Um die Header zu prüfen, gibt es von Postfix-Seite die header_checks.

header_checks können aber nicht z.B. mit einer Datenbank verbunden
werden und haben auch keinen Zugriff auf die Daten aus dem SMTP-Dialog.
Zudem werden diese Checks auch bei authentifizierter Mail durchgeführt.
Wenn du also im From-Header deine eigene E-Mail-Adresse über
header_checks blockst, blockst du ALLE Mails mit deiner E-Mail-Adresse,
auch die authentifizierten.

-- 
Kai Fürstenberg

PM an: kai at fuerstenberg punkt ws

Mehr Informationen über die Mailingliste Postfixbuch-users