[Postfixbuch-users] Top-Level-Domains sperren

Sebastian Kayser mls at skayser.de
So Nov 6 15:40:05 CET 2005


* Jan P. Kessler <postfix at jpkessler.info> wrote:

> > vielleicht darf ich noch eine Frage in dem Zusammenhang hinterher
> > schieben.
> >
> > In meiner Konfig sind ja Absender ohne gültigen
> > Full-Qualified-Domain.... nicht erlaubt.
> > Ich muß aber von verschiedensten Clients aus dem Internet eine
> > bestimmte Email durch lassen.
> > Meine Software versendet bei der Erstinstallation eine Email an mich.
> > Der Absender ist immer gleich. Meldunganmich at xxx.dyndns.tv. Der
> > PC-Name ist natürlich immmer unterschiedlich.
> >
> > Wie bewege ich Postfix nun dazu alles so weiter zu machen, aber die
> > eine bestimmte Email durch zu lassen. Auf den Full-Qualif... möchte
> > ich nicht verzichten. Kann ich vielleicht irgendwo ne Green-Card
> > unterbringen.

Gabs hier schon den Hinweis auf TOFU, Conny?! Siehe:
http://de.wikipedia.org/wiki/TOFU

> >> > Config-Auszug von Conny:
> >> > 
> >> > [...]
> >> > 
> >> > smtpd_recipient_restrictions = permit_mynetworks,check_helo_access
> >> > hash:/etc/postfix/helo_checks,reject_invalid_hostname,
> >> > reject_non_fqdn_hostname, reject_non_fqdn_sender,
> >> > reject_unauth_destination,      reject_non_fqdn_recipient,
> >> > reject_unknown_sender_domain,   reject_rbl_client relays.ordb.org,
> >> >  reject_rbl_client opm.blitzed.org,      reject_rbl_client
> >> > sbl.spamhaus.org,     reject_rbl_client sbl-xbl.spamhaus.org
> >> > reject_rbl_client list.dsbl.org permit_auth_destination, reject

> /etc/postfix/sender_access:
> ---------------------------
> /^Meldunganmich at xxx.dyndns.tv$/     PERMIT
> /\.cc$/                             REJECT No Mail from *.cc
> 
> Wichtig: Muss vor reject_non_fqdn_sender stehen.

Achtung, wenn man den check_sender_access in den von Conny verwendeten
recipient_restrictions vor reject_non_fqdn_sender setzt, dann landet
er auch vor reject_unauth_destination und damit hast Du dann ein offenes
Relay für die Absendeadresse mit dem PERMIT.

Dass das in der Praxis ausgenutzt wird ist wohl eher unwahrscheinlich,
aber prinzipiell ist dann nen Loch in der Config. Daher besser erstmal
die reject_unauth_destination direkt nach permit_mynetworks oder
zumindest vor den check_sender_access setzen.

- sebastian



Mehr Informationen über die Mailingliste Postfixbuch-users