[Postfixbuch-users] Open Relay trotz mynetworks-configuration ?

[Werner Flamme]

swdld at gmx.net [26.02.2013 11:51]:
>  
>>>> Server an DIAL-IN und mit obskuren TLD haben es immer sehr schwer.
>>>  
>>> ==> Ist bei Ihnen alles "obskur"? Unter Dial-In verstehe ich etwas
>> anderes als eine Standleitung wie meine. 
>>> -------------------------------------------------
>>
>> Ist es eine dynamisch vergebene IP-Adresse? Dann fällt es in die Rubrik
>> Dial-In.
>  
> ==> Und weil ich statische IPs habe, nutze ich keinen Dial-In. Man sieht übrigens gleich, daß ich statische IPs benutze, da verstehe ich wirklich nicht, warum das schon wieder angezweifelt wird???  
> -------------------------------------------------

Ich sehe einer Adresse nicht an, ob sie statisch oder dynamisch vergeben
wurde.


>>>> und als Letztes interessiert nicht die Mailque. Was im Logfile steht
>>>> ist wesentlich interessanter und gibt Aufschluss darüber wie die 
>>>> Mails in der Mailque gelandet sind. 
>>>  
>>> ==> Eben genau das WIE steht dort nicht. 
>>> -------------------------------------------------
>>
>> Muss es aber, siehe den Hinweis von Ralf.
>  
> ==> Per SMTP ist doch nicht die interessierende Antwort, oder? Wenn nur die Ports 53 und 25 offen sind, dann ist ja z.B. selbst per ssh kein Einbruch zu befürchten. Es bleibt doch sowieso nur SMTP übrig. Also sehe ich darin keinen Wissensgewinn. Die Frage für michist WIE per SMTP eine IP sich Zugriff verschaffen kann, wenn sie NICHT in den mynetworks-Netzen steht!!! Und da sehe ich im Log KEINEN Hinweis, WIE das passieren konnte. 
> -------------------------------------------------

Meine Nerven. Dass über Port 25/smtp eingeliefert wird, ist fast klar.
In den Logs steht, wer eingeliefert hat - also ob es ein lokaler User
war, einer User/Host aus mynetworks oder einer von außen. Ja, auch in
mynetworks können Spammer stehen. Wenn unsere Wissenschaftler aus der
Mongolei zurückkommen, bringen sie meist eine hybsche internationale
Virensammlung mit, auf jedem Laptop.

>  
>  
>>>> Es fehlt die komplette Überprüfung wer unter welchen Umständen zu
>>>> welchen Bedingungen von Wo nach Wohin senden darf.
>>>  
>>> ==> Wie gesagt, darum geht es nicht, sondern darum, warum eine IP
>> zugreifen kann, die NICHT in einem unter mynetworks definierten Netz steht. 
>>> -------------------------------------------------
>>
>> Na also, dann geht es doch genau darum, wer wann woher wohin senden darf.
>  
> ==> Darf ich jetzt gähnen? Wenn es eine logische Abfolge von Schritten gibt, dann werde ich nicht in Schritt 2 versuchen, einen Fehler aus Schritt 1 zu "heilen". So viel Systematik werde ich beibehalten, sorry. 
> -------------------------------------------------

Bist Du verständnisresistent :-)? "Wer" ist der 1. Schritt, und das
"Wer" funktioniert doch schon nicht. Ganz offensichtlich ist es nicht
auf mynetworks beschränkt, das sollte Dir doch inzwischen klar sein.

>  
>  
>>>> Schau dir die Basics an und konfiguriere erst mal den Mailserver 
>>>> durch.
>>>
>>> ==> Danke für den Tip. Genau da bin ich dabei und merke, daß anders
>> als ich Heinlein verstanden habe, mynetworks NICHT auszureichen 
>> scheint, eine IP vom Zugriff auszuschließen. 
>>> -------------------------------------------------
>>
>> Ja, scheint so. Wenn die smtpd_*_restrictions nicht gerade lauten
>> "permit_mynetworks, reject" gibt es noch weitere Zugangskriterien als
>> die IP-Adresse. Man sollte so ein Postfixbuch versuchen zu verstehen,
>> bevor man anfängt, einen Postfixserver aufzusetzen. Und sich vielleicht
>> auch mal fragen, warum der Abschnitt über die restrictions so
>> umfangreich ist.
>  
> ==> Könntest Du Dich vielleicht dazu äußern, OB es eine logische Schrittabfolge giebt, die in einem zeitlich früheren Schritt mynetworks klärt, abweist/ blockt oder wie auch immer abwehrt UND DANACH (später) die restrictions abarbeitet? Dann wäre was geholfen. 
> Die Frage der EXISTENZ einer LOGISCHEN ABFOLGE ist doch hier die Frage. 
>

Diese logische Abfolge ist in Peers Buch (das ich meist benutze)
eigentlich sehr gut dargelegt. Natürlich gibt es sie, und sie wird im
Buch mit ein langen Listen von smtpd_*_restrictions aufgezeigt.

Allererster Schritt ist, wie schon Uwe sagte, das sinnentnehmende Lesen
des Buchs.

Gruß
Werner