[Postfixbuch-users] Kein SMTP-Auth bei ausschließlich lokalen Domains

Sascha Peters postfix-list at novuage.de
Mo Mai 24 21:31:16 CEST 2010 

Hallo,

Am 24.05.2010 21:24, schrieb Patrick Westenberg:
>> Was bedeutet denn es funktioniert nicht? Wenn das Ziel auf deinem Server
>> liegt dann braucht man ja auch kein AUTH. Ist ja genau wie ein MX, der
>> nimmt Mails ja auch an seine Ziele an. Das AUTH braucht man quasi nur
>> dann wenn man von einer DynIP kommt die weiter hinten geblockt wird, um
>> das mal vereinfacht auszudrücken.
>
> Im jetzigen Zustand kann jeder, der eine lokale Domain kennt oder errät,
> an eine andere lokale Domain Mails senden und/oder spammen.
> Das soll ja nicht sein.

Das kann jeder eh über den MXer. Der Nimmt doch ohne Auth an. So 
funktioniert SMTP im Internet. Oder hab ich hier ein Verständnisproblem 
von dem was Du meinst.


>> Ich würde eher sagen bei dir geht das AUTH nicht, und es klappt im
>> ersten Fall halt aus den genannten Gründen. :-)
>
> AUTH funktioniert, sonst könnte ich keine E-Mail an extern senden.

So sollte es sein, aber in deinen Logfiles war nichts von dovecot zu 
sehen, und das die E-Mails an extern nicht rausgingen. Da stand doch 
"Relay access denied", oder?


>> Mal per Hand versucht über telnet/netcat? Datenstrom per tcpdump
>> gelesen? Loglevel von Postfix für die Client IP ein bisschen hoch
>> drehen. Ich kann vom dovecot auch gar nix sehen in den Logs?
>>
>> Diese Datei/Socket vorhanden?
>> /var/spool/postfix/private/auth
>
> Socket ist vorhanden und über telnet ist es dasselbe.
> Ich habe Postfix mal auf verbose gestellt.
>
> May 24 21:08:19 smtp02 postfix/smtpd[2790]: initializing the server-side
> TLS engine
> [...]
> May 24 21:08:19 smtp02 postfix/qmgr[2788]: A251951FEF: removed
> May 24 21:08:19 smtp02 postfix/smtpd[2790]: disconnect from
> unknown[10.5.29.31]

nen dovecot sehe ich hier noch immer nicht, vielleicht ist das nicht 
alles, sondern ein grep nach postfix? Wenn AUTH aber klappt, und das 
obige normal ist, dann geht doch alles.

Das einzige was Du vielleicht machen kannst wenn es kein MXer ist auf 
dem Du da arbeitest, dann kannst Du die smtpd_restrictions abändern.


In etwas von:
smtpd_recipient_restrictions = permit_mynetworks, 
permit_sasl_authenticated, reject_unverified_recipient, 
reject_non_fqdn_sender, reject_unauth_destination, 
reject_invalid_helo_hostname, reject_unknown_sender_domain

nach:
smtpd_recipient_restrictions = permit_mynetworks, 
permit_sasl_authenticated, reject


Ungetestet, dann dürfte senden wer aus mynetworks kommt und wer sich 
angemeldet hat über sasl, alles andere nicht.


-- 

Gruß
Sascha

Mehr Informationen über die Mailingliste Postfixbuch-users