[Postfixbuch-users] Authentifizierungszwang schlägt fehlt

Thomas Schwenski mailing-lists at thomasschwenski.de
Fr Mai 15 09:48:15 CEST 2009


Alexander Busam schrieb:
> Uwe Driessen schrieb:
>> On Behalf Of Christian Flothmann
>>> Das liegt daran, dass du in smtpd_recipient_restrictions
>>> permit_mynetworks
>>> stehen hast, so dass jeder Client aus deinem Netz auch unauthentisiert
>>> senden darf.
>>
>> Bzw. daran das sehr wahrscheinlich das ganze Netz als Mynetwork
>> eingetragen ist
>> Umstellen das eben nur die IP's des Servers in mynetwork drin stehen
>> /32 dann kann der
>> Server selber und auch Webmail aber niemand sonst ohne Anmeldung
>> verschicken.
>>
> Hallo Christian ,
> 
> habe mynetworks_style von subnet auf host gesetzt. Hat funktioniert.
> 
> Noch zwei Fragen:
> 
> Wär es nicht sinnvoll permit_mynetworks an den Anfang (also vor der spam
> und greylisting) der recipient_restrictions zu setzen um im voraus alle
> nicht authorisierten Nutzer auszuschließen ?

Vor Greylisting und rbl-checks: ja,
ganz an den Anfang: nein

Wenigstens die grundlegenden Überprüfungen auf gültige E-Mail-Adressen
(also user at example.com) bzw. Domainangaben sollten im Vorfeld
durchgeführt werden.

> Durch mynetworks_style = host kann ich zwar nicht mehr unauthorisiert
> mails an "externe" Domains verschicken, an die  "eigenen", relayten
> Domains funktioniert das aber noch. Wie kann man verhindern, dass jemand
> dies ausnutzt ?

Du willst nur überprüfen, ob das was Du annimmst:
-von Dir angenommen werden darf (bist Du für die Domain den Empfänger
zuständig)
-einen gültigen Absender hat, dem auch geantwortet werden kann
***
-Du es haben willst (RBL, DIALUP, Greylisting, eigene Blacklist(en))

Die Überprüfungen bis zu den *** solltest Du auch für vertrauenswürdige
Teilnehmer (Deinen Mailserver, Dein internes Netz, authentifizierte
User) durchführen.
Für alle anderen, auch die restlichen Überprüfungen.
Wer da durch kommt, der darf natrülich auch an Deine "lokalen" Domains
zustellen.

Derjenige nutzt dann auch nichts aus.

Thomas




Mehr Informationen über die Mailingliste Postfixbuch-users