Hilfe mit Postfix

List overview All Threads
Download

newer

older

Vortragender für Workshop...

SEHR eingeschränkter User auf...

Luca Bertoncello

3 Feb 2016 3 Feb '16

9:25 a.m.

Hallo Leute!

Ich habe folgendes Problem: auf einem Server mit Postfix 2.10, der die ankommende E-Mails an einem weiteren Server weiterleitet, muss ich eine Prüfung einbauen. Derzeit, wenn ich den Absender- und Empfängeradresse mit einer Domain angebe, die in der relay_domains ist, wird die E-Mail immer akzeptiert, auch wenn das eine Verfälschung ist. Die Idee jetzt wäre E-Mails, wo der Absender in der relay_domains-Liste ist, erst zu akzeptieren, wenn der Nutzer sich vorher authentifiziert hat. Nein, leider kommt SPF nicht in Frage. Ihr wollt nicht wissen warum...

Gut, ich fluche seit gestern und habe bisher keine Lösung gefunden... Kann jemand mir ein gutes Tipp geben?

Besten Dank Luca Bertoncello (lucabert@lucabert.de)

Show replies by date

Ronny Seffner

3 Feb 3 Feb

10:47 a.m.

New subject: AW: Hilfe mit Postfix

Hallo Luca,

...

ankommende E-Mails an einem weiteren Server weiterleitet, muss ich eine Prüfung einbauen. Derzeit, wenn ich den Absender- und Empfängeradresse mit einer Domain angebe, die in der relay_domains ist, wird die E-Mail immer

Absender haben doch dort nichts zu suchen.

...

akzeptiert, auch wenn das eine Verfälschung ist. Die Idee jetzt wäre E-Mails, wo der Absender in der relay_domains-Liste ist, erst zu akzeptieren, wenn der Nutzer sich vorher authentifiziert hat.

nochmal zum Verständnis:

- Du hast einen postfix, der sowas wie ein 2nd MX ist, Mails zur Weiterleitung annimmt - Du setzt den Parameter relay_domains ein, um die gültigen weiterzuleitenden Domains zu definieren

- Du möchtest, dass nur authentifizierte Absender an diese Domains relayen dürfen

Soll der postfix _NUR DAS_ machen oder z.B. auch lokal Mail entgegennehmen oder welche Versenden oder smarthost sein oder oder oder?

'relay_domains' ist eine zweispaltige Tabelle, die für eine Domain (Spalte 1) nur einen Status (z.B: OK, REJECT) kennt. Da kannst Du keine Sender-Empfänger-Zuordnung machen. Was Du vermutlich willst, ist SASL (also SMTP-AUTH) aktivieren und ggf. zusätzliche Absender über Ihre Netze/IPs (mynetworks) als Einliefernde zulassen. Sicher hilft Dir dann 'smtpd_relay_restrictions' weiter, dem Du dann 'permit_sasl_authenticated' hinzufügen solltest.

Mit freundlichen Grüßen / Kind regards Ronny Seffner -- Ronny Seffner | Alter Viehweg 1 | 01665 Klipphausen www.seffner.de | ronny@seffner.de | +49 35245 72950 7EA62E22D9CC4F0B74DCBCEA864623A568694DB8

Heiko Schlittermann

12:20 p.m.

Luca Bertoncello lucabert@lucabert.de (Mi 03 Feb 2016 10:25:04 CET):

...

Ich habe folgendes Problem: auf einem Server mit Postfix 2.10, der die ankommende E-Mails an einem weiteren Server weiterleitet, muss ich eine Prüfung einbauen. Derzeit, wenn ich den Absender- und Empfängeradresse mit einer Domain angebe, die in der relay_domains ist, wird die E-Mail immer akzeptiert, auch wenn das eine Verfälschung ist.

Klar.

...

Die Idee jetzt wäre E-Mails, wo der Absender in der relay_domains-Liste ist, erst zu akzeptieren, wenn der Nutzer sich vorher authentifiziert hat. Nein, leider kommt SPF nicht in Frage. Ihr wollt nicht wissen warum...

acl_check_rcpt: …

deny !authenticated = * sender_domains = +relay_from_domains

Oh, ich lese gerade, Du hast Postfix, dann kannst Du das natürlich nicht so machen. Erst Exim installieren, dann geht das.

Viele Grüße Heiko Schlittermann

-- SCHLITTERMANN.de ---------------------------- internet & unix support - Heiko Schlittermann, Dipl.-Ing. (TU) - {fon,fax}: +49.351.802998{1,3} - gnupg encrypted messages are welcome --------------- key ID: F69376CE - ! key id 7CBF764A and 972EAC9F are revoked since 2015-01 ------------ -

Luca Bertoncello

12:33 p.m.

Zitat von Heiko Schlittermann hs@schlittermann.de:

...

...
Die Idee jetzt wäre E-Mails, wo der Absender in der relay_domains-Liste ist, erst zu akzeptieren, wenn der Nutzer sich vorher authentifiziert hat. Nein, leider kommt SPF nicht in Frage. Ihr wollt nicht wissen warum...
acl_check_rcpt:
    …

    deny    !authenticated = *
            sender_domains = +relay_from_domains

Der gute liebe Exim... Leider darf ich in diesem Fall nicht nutzen... :(

...

Oh, ich lese gerade, Du hast Postfix, dann kannst Du das natürlich nicht so machen. Erst Exim installieren, dann geht das.

Siehe oben... wenn ich Entscheidungsfreiheit habe, kommt nur Exim in Frage, aber in dem Fall darf ich nicht...

Ich habe inzwischen die Lösung gefunden:

smtpd_sender_restrictions = reject_non_fqdn_sender reject_unknown_sender_domain permit_sasl_authenticated check_sender_access hash:/etc/postfix/tables/domains permit

Und die Datei /etc/postfix/tables/domains enthält die Liste der Domains in dem Format:

domain.tld REJECT

Grüße Luca Bertoncello (lucabert@lucabert.de)

3438

Age (days ago)

3438

Last active (days ago)

lug-dd@mailman.schlittermann.de

3 comments

3 participants

tags (0)

participants (3)

Heiko Schlittermann
Luca Bertoncello
Ronny Seffner