[Postfixbuch-users] Mail wird relayed ohne offenes Relay

Driessen driessen at fblan.de
Mi Jul 20 18:26:10 CEST 2011 

On Behalf Of Dominik Storck
> mag ja sein, daß das Regelwerk noch verbesserungsfähig ist, aber
> prinzipiell funktioniert es. Ist quasi als Summe diverser Idenn aus dem
> Postfix-Buch und div. Online-Quellen entstanden. Wenn dem so wäre, wie
> du vermutest, wäre die Maschine ein offenes Relay und ich hätte wohl
> schon lange ein massives Problem. Das ist aber nicht der Fall.

Empfehlung aller Postfixbücher des deutschsprachigen Raumes ist ALLE
Restriktonen unter recipient_restriction zusammenzufassen.

1. es wird leichter nachvollziehbar wann welcher check gemacht wird 
2. jeder check wird nur einmal durchgeführt 
3. das permit am ende kannst du dir sparen 

Aufbau der Restriktionen nach dem Muster 

smtpd_recipient_restrictions =
		überprüfungen für eigene und fremde 
		permit_sasl_authenticated
		überprüfungen welche nur für fremde Mailserver gelten


> Mein Problem ist nun wirklich der bislang nur einmal aufgetretene Fall
> wie eingangs beschrieben, daß eine Mail
> zu einem Relaying geführt hat, die definitv Spam war, die eingebauten
> Tests erfolgreich passiert hat und - weil an
> einen lokalen Account gerichtet - angenommen wurde. Irgendwie war wohl
> der Mail-Header so präpariert, daß die
> Mail dann weiteren 4 externen Empfängern zugestellt wurde, von denen
> einer eine abuse-Meldung wg. Spam
> an mich gerichtet hat. Leider habe ich die originale Nachricht nicht zu
> Gesicht bekommen, so daß ich nur mutmaßen
> kann, daß es da wohl eine Lücke gibt. Hatte die Hoffnung, daß es evtl.
> Leidensgenossen gibt, die einen ähnlichen Fall
> hatten. Wäre doch der Hammer, wenn man so relativ simpel ansonsten
> saubere Maschinen mißbrauchen könnte

Dazu wären die Header der originalen Mail notwendig.
Postfix selber hat keine solche Lücke, es macht zu 100% das was du
festgelegt hast(nicht unbedingt das was du meinst es müsste tun). 
So was kann passieren wenn die Restriktionen nicht überall gleich sind.
Im Helo evtl abgelehnt und in den recipients angenommen.

Ich vermute du arbeitest aufgrund der aufgeteilten Restriktionen mit
smtpd_delay_reject                  =   yes (ist auch glaube ich der
Standardwert).

Vorteil der oben beschriebenen vorgehensweise ist das man in der
recipients_restriction sofort nach Durchführung des Test wenn er nicht
bestanden wurde ablehnen kann.
smtpd_delay_reject                  =   no  

Es spart außerdem Rechenleistung und schleust Mail unter Umständen in der
halben Zeit durchs System.

Das Umschreiben ist in nicht mal 5 min gemacht und bringt dir 100% mehr
Sicherheit und Klarheit wer wann was wo zu machen hat.

Kein Test sollte mit OK benutz werden DUNNO ist die beste Art damit
nachstehende checks auch noch durchgeführt werden.

Wer am Ende nicht abgelehnt wurde wird sowieso angenommen deswegen kann man
sich das permit sparen.

> 
> Nochmal: die ganzen Regelwerke verrichten ihre Arbeit soweit
> erfolgreich, die Maschine ist kein sperrangelweit offenes Relay, in der

Bisschen offen reicht schon *gg

> /etc/postfix/access gibt und gab es keinen Eintrag, der dem Spammer das
> Relaying erlaubt hätte

Aber auch keine Restriktion die Ihn abgelehnt hat (das ist dann einfach so) 

> und deshalb frage ich mich, wie er das hinbekommen hat bzw. wie ich das
> zu Testzwecken nachstellen kann, um den Ablauf verfolgen zu können.
> 
> Grüße + Danke für's mit draufrumdenken ;-)
> Dominik


Mit freundlichen Grüßen

Drießen

-- 
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert
Tel.: +49 06708 / 660045   Fax: +49 06708 / 661397

Mehr Informationen über die Mailingliste Postfixbuch-users