[Postfixbuch-users] Restrictions

Patrick Ben Koetter p at sys4.de
Sa Feb 8 00:02:29 CET 2014


* Silvio Siefke <postfixbuch-users at listen.jpberlin.de>:
> Hallo, 
> 
> ich habe mir ein Postfix/Dovecot/amavisd Mailserver aufgesetzt. So weit
> scheint alles zu funktionieren, senden, empfangen aber irgendwie scheint
> der Wurm in den Restriction zu sein.
> 
> Die aktuelle Konfiguration:
> ks3374456 postfix # postconf -n
> alias_maps = hash:/etc/aliases
> append_dot_mydomain = no
> biff = no
> command_directory = /usr/sbin
> config_directory = /etc/postfix
> daemon_directory = /usr/libexec/postfix
> data_directory = /var/lib/postfix
> disable_vrfy_command = yes
> home_mailbox = Maildir/
> html_directory = no
> inet_interfaces = all
> inet_protocols = all
> mail_owner = postfix
> mailbox_size_limit = 0
> mailq_path = /usr/bin/mailq
> manpage_directory = /usr/share/man
> masquerade_domains =
> master_service_disable =
> message_size_limit = 20480000
> minimal_backoff_time = 300s
> mydestination = $myhostname, localhost
> myhostname = ks3374456.kimsufi.com
> mynetworks = 127.0.0.1
> mynetworks_style = subnet
> myorigin = $myhostname
> newaliases_path = /usr/bin/newaliases
> policyd-spf_time_limit = 3600
> queue_directory = /var/spool/postfix
> queue_run_delay = 300s
> readme_directory = no
> recipient_delimiter = +
> sample_directory = /etc/postfix
> sendmail_path = /usr/sbin/sendmail
> setgid_group = postdrop
> smtp_tls_loglevel = 1
> smtp_tls_security_level = may
> smtp_tls_session_cache_database = btree:/var/lib/postfix/smtp_scache
> smtpd_banner = $myhostname ESMTP
> smtpd_helo_required = yes
> smtpd_helo_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_invalid_hostname, reject_non_fqdn_hostname, reject_unknown_hostname
> smtpd_recipient_restrictions = permit_sasl_authenticated, reject_unknown_recipient_domain, reject_unauth_destination, check_policy_service unix:private/policyd-spf, check_policy_service unix:private/postgrey permit
> smtpd_relay_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination
> smtpd_sasl_auth_enable = yes
> smtpd_sasl_path = private/auth
> smtpd_sasl_type = dovecot
> smtpd_sender_restrictions = reject_unknown_sender_domain
> smtpd_tls_ask_ccert = yes
> smtpd_tls_cert_file = /etc/postfix/key/postfix.pem
> smtpd_tls_key_file = /etc/postfix/key/postfix.key
> smtpd_tls_loglevel = 1
> smtpd_tls_received_header = yes
> smtpd_tls_security_level = may
> smtpd_tls_session_cache_database = btree:/var/lib/postfix/smtpd_scache
> strict_rfc821_envelopes = yes
> virtual_gid_maps = static:5000
> virtual_mailbox_base = /var/vmail
> virtual_mailbox_domains = /etc/postfix/vhost
> virtual_mailbox_maps = hash:/etc/postfix/vmaps
> virtual_minimum_uid = 100
> virtual_transport = lmtp:unix:private/dovecot-lmtp
> virtual_uid_maps = static:5000
> 
> Jetzt stelle ich mir ein paar Fragen:
> 
> 1.) Ist das soweit ok, oder ist etwas erkennbar was nicht sein sollte?

Mal so vorneweg: Was ist denn Dein Ziel? Splittest Du einliefernde Clients
nach MTA (25) und MUA (587)? Wenn Du dazu was sagst, wird es leichter Dir
zu sagen wie geeignet Deine Filterregeln und ihre Anordnung sind.

So im Detail:

Also wenn der Client helo sagt (smtpd_helo_restrictions) ist die Session ganz
am Anfang. Da hatte der Client noch keine Gelegenheit, sich zu identifizieren
und der Server konnte den Client nicht authentifizieren. Insofern ist ein
"permit_sasl_authenticated" an der Stelle zu früh.


> 2.) Warum nimmt Postfix die Client Restriction nicht an?

Weil sie smtpd_client_restrictions heissen. :)
             ^
Merke: Das sind alles SMTP Session Filter, die im Postfix SMTP Server, den
smtp daemon, ausgeführt werden.

> 
> #maps_rbl_domain = dnsbl.sorbs.net
> #smtp_client_restrictions = 
> #	permit_mynetworks, 
> #	permit_sasl_authenticated, 
> #	reject_maps_rbl, 
> #	reject_unknown_client
> 
> 3.) smtps ist deprecated? Was kann man sonst einstellen damit verschlüsselt
> verbunden wird?

Biete STARTTLS auf Port 25 an. Wenn Du MUAs hast, die sich über ein
verschlüsselte Verbindung identifizieren sollen, dann schicke sie auf Port 587
und erzwinge dort TLS.

p at rick

-- 
[*] sys4 AG
 
http://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
 



Mehr Informationen über die Mailingliste Postfixbuch-users