[Postfixbuch-users] Open Relay trotz mynetworks-configuration ?
swdld at gmx.net
swdld at gmx.net
Di Feb 26 16:50:12 CET 2013
> > ==> Aha, ich habe eine Vermutung: mynetworks ist also keineswegs eine
> > Definition, die generell den Zugriff durch außerehalb stehender IPs
> > schon ausschließt, sondern nur eine Variable um später in den
> > restrictions das eigene Netz komfortabler benennen zu können. Ist das
> > so? Dann wäre klar, daß es KEINE Abfolge von logischen Schritten
> > gibt, die entscheiden, sondern eine vorgelagerte Definition einer
> > (und anderer) Variablen, diese Variable aber NICHT AUTOMATISCH zu
> > einer Abweisung nicht enthaltener IPs führt, sondern später in den
> > restrictions (so wie ja ettliches anderes auch) noch explitit
> > angewiesen werden muß. Hmmm, ist das so?
>
> Korrekt! Abgesehen von der logischen Reihenfolge. Die Parameter selbst
> haben keine Reihenfolge und entscheiden auch nicht darüber, ob eine Mail
> angenommen wird oder nicht. Das macht bei den meisten Installationen
> ausschliesslich smtpd_recipient_restrictions. Und die einzelnen
> Restriktionen innerhalb von smtpd_recipient_restrictions haben sehr wohl
> eine logische Reihenfolge, die ist aber von der eigenen Installation und
> den eigenen Vorstellungen abhängig.
==> Herzlichen DANK! Wenn es hier Punkte gäbe für die akzeptierte Antwort, dann wäre Deine Mail die richtige Antwort für mich !!!
Jetzt bin ich weiter!
--------------------------------------------------
> Und jetzt mal ein kleiner Tip, damit du überhaupt mit der Konfiguration
> weiter kommst:
>
> Lösche ALLE smtpd_*_restrictions (also client, helo, sender und
> recipient, letzteres hast du doppelt) aus deiner main.cf. Also nicht
> einfach nur leeren, sondern komplett rausschmeissen/löschen.
>
> Dann ergänzt du:
> smtpd_recipient_restrictions = permit_mynetworks, reject
>
> Damit erlaubst du mynetworks (permit_mynetworks), und alles andere wird
> abgewiesen (reject). Damit ist deine Kiste von außen erst mal
> abgesichert. Wenn die Spam-Schleuder im internen Netzwerk (mynetworks)
> hängt, natürlich nicht.
==> Auch dafür herzlichen Dank.
Daß die Spam-Schleuder in meinem Netzwerk hängen wird, ist unwahrscheinlich, weil nur ganz bestimmte automatisierte Programme laufen auf jeweils einzelnen Maschinen. Abgesehen von einem (weil Windows) potentiell gefährlichen Webserver. Aber dieser sitzt hinter einer weiteren Linux-Firewall mit NAT und da ist auf den LowPorts ausschließlich ein Zugriff von außen über http, Port 80, tcp erlaubt, kein Verbindungsaufbau von innen nach außen... Auch nicht zum Mailserver...
--------------------------------------------------
> >> Was ist denn bitte "check_relay_domains" für ein Parameter? In der
> >> Dokumentation taucht dieser nicht auf.
> >
> > ==> Im Buch steht im Index auf Seite 764 Ein Verweis auf Seite 195,
> > dort aber steht "nur" ein "$relay_domains" als Variable, mit der
> > Bedeutung eines Erkennungszeichens, ob der host ein Relay sein soll.
> > Hinter "check_relay_domains" vermute ich eher eine Prüfung, als eine
> > Variable.
>
> Peer, ich habe das Buch gerade nicht vorliegen, kannst du das mal bitte
> auflösen (oder auch irgendwer anderes, der das Buch gerade zur Hand hat)?
==> ....
--------------------------------------------------
> Ein Log-Auszug reicht immer von "connect" bis "disconnect". Beim connect
> bekommst du die IP-Adresse des Clients genannt. Dann weißt du, ob die
> Mail von außen, oder von innen eingespeist wurde. Anhand der
> Mail-Adresse erkennst du das nicht.
==> Ich müßte das abtippen. Da gibt es doch sicher einen Befehl, wie ich eine mit "fgrep <Nummer_aus_mailq_der_mail> /var/log/mail" erstellte Listenausgabe in eine Datei schreibe, oder?
Und ansonsten stehen hier IP-Nummern wie "80.190.252.203". Daß es sich nicht um Mails handelt, die in meinem Netz entstanden sind ist schon darum "sicher", weil nur ich in dem Netz unterwegs bin und neben dem Mailserver nur eine Firewall sitzt, hinter der Dinge passieren, die ich (im Gegensatz zum Mailserver) "genau" kenne. Die FRWL-config kenne ich auch "genau", da kommt kein smtp heraus. Nicht in Richting Mailserver, nicht sonst wo hin.
--------------------------------------------------
> >>>> Es fehlt die komplette Überprüfung wer unter welchen Umständen
> >>>> zu welchen Bedingungen von Wo nach Wohin senden darf.
> >>>
> >>> ==> Wie gesagt, darum geht es nicht, sondern darum, warum eine
> >>> IP zugreifen kann, die NICHT in einem unter mynetworks
> >>> definierten Netz steht.
> >>
> >> Wo steht das? Richtig: Im Log. Und das hast du noch nicht
> >> gepostet. Einer der Lieblingssprüche von Wietse Venema auf der
> >> offiziellen Postfix-Liste lautet: "Where's the proof?" Also: schick
> >> uns den Beweis.
> >
> > ==> Ist bereits gepostet. Soll ich das ganze Log posten?
>
> Ich hoffe, du meinst nicht das ganze Log-File...!
> Der vollständige Log-Auszug von connect bis disconnect genau zu der von
> dir angegebenen Mail. Der wäre schon mal schön, ja.
==> Wie gesagt: Wie in Datei exportieren, oder abtippen?
Aber daß es "fremde" IP-Nummern sind, das sollte klar sein (siehe "80.190.252.203").
--------------------------------------------------
Mehr Informationen über die Mailingliste Postfixbuch-users