[Postfixbuch-users] Gültiger User sendet mit ungültiger Domain

Mathias Jeschke postfixbuch-users at gmj.cjb.net
So Jan 22 22:13:25 CET 2012


Am 20.01.12 17:58, schrieb Fabian Petzold:

> Während der Exchangeserver beim Abrufen der Mails die Konten einzeln 
> abfragt und sich auch sauber pro Konto authentifiziert,

Anders wird es (bei POP3/IMAP) auch schwerlich möglich sein, die Mail
einer "Quellmailbox" (auf Deinem Server) verlässlich einer Mailbox des
Zielservers (Exchange) zuzuordnen.
Deshalb erfolgt die Mailzustellung zwischen den Mailservern i.d.R. auch
per SMTP (also push vs. pull) - auch zu einem Exchange-Server ist das
üblich.

> macht er beim Einliefern von Mails genau das Gegenteil.
> Er meldet sich immer mit dem gleichen Benutzer an und schickt Mails mit 
> from-Adressen von allen Möglichen seiner Konten und Weiterleitungen der 
> Domain über diesen einen Benutzer.

Wo ist das Problem, solange alle Absender der Mails das so dürfen -
also mit einem dieser Absender von diesem Server über Dein System relayen?

> Wenn ich also reject_authenticated_sender_login_mismatch angeschaltet 
> hatte, gingen diese Exchangeserver in die Knie.
> 
> Dieses Exchangeserververhalten habe ich hier auf dem Server bei 3 
> voneinander unabhängigen Kunden, welchen ich nicht einfach sagen kann 
> "Ändert eure Vorgehensweise".  Da sagen die mir "Ging doch immer so."  
> (Ich habe die Serververwaltung übernommen und den alten zugemüllten 
> Server komplett neu aufgesetzt.)
> 
> FRAGE:
> Ist dieses Verhalten der Exchange-Server üblich oder ist es eine 
> Fehlkonfiguration beim Kunden.

Es gibt halt nicht viele Möglichkeiten einen Mailserver verlässlich
zu authentifizieren, als da wären:
- anhand der IP-Adresse (mynetworks),
- anhand eines Client-Zertifikats (TLS),
- anhand von Username und Passwort (SMTP-Auth)

Bei letzterem - was in Deinem Fall zutrifft - bleibt die Frage,
ob es notwendig ist für jede Absende-Adresse ein seprates
SMTP-Auth-Konto vorzuhalten und zu pflegen.
Wie Du anhand der Lösung gesehen hast, geht's halt auch ohne und
skaliert zumindest innerhalb einer DNS-Domain super - warum also mehr
Aufwand ohne echten Zusatznutzen?
(Einzelne Absenderadressen lassen sich bei Mißbrauch ja trotzdem sperren!)

Gruß,
Mathias



Mehr Informationen über die Mailingliste Postfixbuch-users