[Postfixbuch-users] Open Relay trotz mynetworks-configuration ?

Kai Fürstenberg kai_postfix at fuerstenberg.ws
Di Feb 26 11:10:23 CET 2013 

Am 26.02.2013 10:18, schrieb swdld at gmx.net:
>> Das ist einfacher in die Mail an die Liste reinzuposten. postconf
>> -n und diemaster.cf OHNE Kommentare
> 
> ==> Den Satz verstehe ich leider nicht.

du sollst postconf -n und master.cf ohne Kommentare einfach in deine
Mail an diese Liste packen. Fertig. Keine externen Links o.ä.

>> Kaum einer wird hingehen und wirklich irgendwelche "obskuren" links
>> zu öffnen.
> 
> ==> Ich denke, daß wer einen Mailserver konfigurieren kann, auch das
> Internet benutzt, seine Rechner virenfrei halten kann usw., aber
> vielleicht irre ich mich da. Ich werde darüber nachdenken.
> Versprochen.

hat nichts miteinander zu tun. Auch der größte Experte kann Opfer einer
noch unbekannten Sicherheitslücke werden.

Wenn du vorhast, die Konfig lieber irgendwo ins Internet zu posten,
solltest du eher einen Dienst wie Pastebin o.ä. verwenden und keine
Links senden, die auf irgendeine nicht bekannte IP-Adresse zeigen. An
diese Liste sind schon extrem lange Verbose-Logs gepostet worden, das
ist überhaupt kein Problem und keiner macht die einen Vorwurf, wenn du
das machst (außer vielleicht es wäre völlig sinnfrei).

>> Ansonsten empfehle ich dir erst mal festzulegen und uns zu erklären
>> was dein Server tun soll.
> 
> ==> Mein Server soll Mails verschicken. Insbesondere soll er kein
> Open Relay sein. Darunter ist zu verstehen, daß NIEMAND von außerhalb
> auf den Server zugreifen soll um "seine" Mails zu verschicken. Der
> Hinweis auf mynetworks sollte das klar machen. Heinleins Buch (3.
> Auflage) sagt deutlich, daß IPs außerhalb von mynetworks nicht
> zugreifen können sollten. Genau das scheint aber der Fall und genau
> das schildere ich als mein nicht abstellbares Problem. 

permit_mynetworks ist der richtige Parameter dafür. Wenn der Server aber
nur aus deinem Netz annehmen soll und sonst nichts, gehört ans Ende in
jedem Fall ein "reject".

Außerdem:
http://www.postfix.org/postconf.5.html#smtpd_recipient_restrictions

" IMPORTANT: Either the smtpd_relay_restrictions or the
smtpd_recipient_restrictions parameter must specify at least one of the
following restrictions. Otherwise Postfix will refuse to receive mail:

    reject, reject_unauth_destination

    defer, defer_if_permit, defer_unauth_destination
"

Bei dir taucht keiner dieser Parameter auf. Warum die Mail überhaupt
angenommen wird erschliesst sich mit im Moment nicht. Was ist denn bitte
"check_relay_domains" für ein Parameter? In der Dokumentation taucht
dieser nicht auf. Restriction Class? Aber wohl nicht definiert...

>> Und dann bleibt da noch deine smtpd_recipient_restrictions, die
>> sehen mehr wie dürftig aus.
> 
> ==> Und (s.oben) die restrictions kommen doch erst ins Spiel, wenn
> die IP Zugang bekommt!!! 

Nein: Denn du erlaubst zwar dein eigenes Netzwerk, aber alles andere
auch, da du kein "reject" angegeben hast.

> Wenn die mynetworks-Konfiguration
> "übergangen" wird, dann scheint es mir unerheblich, was in den
> nachfolgenden restrictions steht, oder etwa nicht? 

Nein. Am Ende steht immer "permit", ob's drinsteht oder nicht, spielt
keine Rolle. Solange vorher kein "reject" kommt, wird die Mail
angenommen. Außer in o.g. Fällen (smtpd_recipient_restrictions).

> Übrigens heißt es
> im Deutschen "genau so wie", aber "anders als"  ;-) 

_Das_ interessiert an dieser Stelle hier überhaupt nicht. Auch nicht mit
Smiley. Es geht um _deine_ Kiste die einfach nur grauenhaft eingerichtet
ist. Etliche Leute wollen dir helfen und Grammatikregeln sind deine
Antwort darauf?

>> und als Letztes interessiert nicht die Mailque. Was im Logfile
>> steht ist wesentlich interessanter und gibt Aufschluss darüber wie
>> die Mails in der Mailque gelandet sind.
> 
> ==> Eben genau das WIE steht dort nicht. 

Nicht einfach behaupten, sondern posten. Überlass das denen, die davon
Ahnung haben, davon gibt es hier auf der Liste mehr als genug. Darunter
auch einige Buchautoren von Postfix-Standardwerken.

>> Es gibt 2 SEHR gute DEUTSCHE Postfixbücher. Die erklären haarklein
>> was wann wie und warum. Amazon oder eine Buchhandlung deiner Wahl
>> sind gute Adressen um in den Besitz derer zu gelangen.
> 
> ==> Ich habe Heinlein's in Auflage 2 und 3, das reicht mir. 

Hast du sie gelesen? Hast du sie verstanden?

>> Es fehlt die komplette Überprüfung wer unter welchen Umständen zu 
>> welchen Bedingungen von Wo nach Wohin senden darf.
> 
> ==> Wie gesagt, darum geht es nicht, sondern darum, warum eine IP
> zugreifen kann, die NICHT in einem unter mynetworks definierten Netz
> steht.

Wo steht das? Richtig: Im Log. Und das hast du noch nicht gepostet.
Einer der Lieblingssprüche von Wietse Venema auf der offiziellen
Postfix-Liste lautet: "Where's the proof?"

Also: schick uns den Beweis.

>> Tu dir selbst einen Gefallen und nimm das Ding vom Netz bevor die
>> IP komplett verbrannt ist.
> 
> ==> Danke für den Tip. Habe ich natürlich schon längst getan. Wenn
> Sie mal pingen würden (meine IP kennen Sie ja), dann würden Sie das
> merken.

Warum sollten wir das machen? Ist doch nicht unser Server.
Wir wollen dir helfen. Nur du musst dir auch helfen lassen. Wir geben
dir Tips, du machst die Arbeit. Das ist hier so.

>> Schau dir die Basics an und konfiguriere erst mal den Mailserver
>> durch.
> 
> ==> Danke für den Tip. Genau da bin ich dabei und merke, daß anders
> als ich Heinlein verstanden habe, mynetworks NICHT auszureichen
> scheint, eine IP vom Zugriff auszuschließen. 

permit_mynetworks _erlaubt_ IPs. Es schliesst keine IPs aus.

Doku lesen:
http://www.postfix.org/postconf.5.html#permit_mynetworks
"Permit the request when the client IP address matches any network or
network address listed in $mynetworks."

Soll verhindern, dass die Mail aufgrund einer späteren Restriktion
abgelehnt werden, daher kann sie hiermit schon vorher erlaubt werden.

>> Falls du das nicht möchtest beauftrage die Einrichtung des
>> Mailservers. Das ist in der Regel günstiger wie sich Tagelang
>> hinzuhocken bis das man es einigermaßen so hat wie man glaubt das
>> es gehen könnte. Die spätere Pflege kannst du dann ja selbst
>> übernehmen.
> 
> ==> Wie soll eine Pflege funktionieren, wenn man die Konfiguration
> nicht hinbekommt? Es gibt noch andere Aspekte die ich jetzt hier
> nicht diskutieren möchte, da das hier ja nicht eine Psychotherapie
> ist. (...günstziger "als"... - siehe oben) 

hat mit "Psychotherapie" nichts zu tun. Es kommen hier immer wieder
Anfragen nach der Art "Ich hab keinen Bock einen Server zu
administrieren, will aber unbedingt einen haben, nix dafür tun und
können tu ich auch nix". Entsprechend kann die Reaktion einiger hier
ausfallen, weil sie sich einfach Ihrem Frust mal Luft machen, wenn eine
Anfrage nur danach aussieht. Das darfst du nicht _zu_ ernst nehmen, aber
ernst solltest du es nehmen und die "harten Worte" einfach mal aufnehmen
und kurz drüber nachdenken.

-- 
Kai Fürstenberg

PM an: kai at fuerstenberg punkt ws

Mehr Informationen über die Mailingliste Postfixbuch-users