[Postfixbuch-users] reject_unknown_client für auth Benutzer über 587 deaktivieren

Christian Bricart christian at bricart.de
Fr Jan 16 18:14:02 CET 2015 

Am 16.01.2015 um 17:40 schrieb ffert at owl3d.de:
> Hallo liebe Leute,
> 
> ich fummle nun schon seit Stunden an meiner Postfix-Konfiguration rum um
> Postfix so einzustellen, das die Clients die über Port 587 E-Mails
> verschicken, nicht durch "reject_unknown_client" blockiert werden (z.B.
> Smartphone Benutzer). Ich bekomme es einfach nicht hin. Wo liegt der
> Denk Fehler? Warum greift die Regel "reject_unknown_client" auch bei
> authentifizierten Clients bzw. was fehlt? Hat da jemand ne Idee :S

weil's genau so da steht.. ;-)

> 
> Meine main.cf sieht in etwa wie folgt aus:
> smtpd_recipient_restrictions =
        ^^^^^^^^^
>         reject_non_fqdn_recipient,
>         reject_unknown_sender_domain,
>         reject_unknown_recipient_domain,
>         reject_unknown_client,
          ^^^^^^^^^^^^^^^^^^^^^
>         permit_sasl_authenticated,
          ^^^^^^^^^^^^^^^^^^^^^^^^^
>         permit_mynetworks,
>         reject_rbl_client zen.spamhaus.org,
>         reject_unverified_recipient,
>         reject_unauth_destination,
>         permit
> 
> und meine master.cf mit dem Submission (Port 587) teil so:
> submission inet n       -       -       -       -       smtpd
>    -o smtpd_tls_security_level=encrypt
>    -o smtpd_sasl_auth_enable=yes
>    -o smtpd_client_restrictions=permit_sasl_authenticated,reject
              ^^^^^^
>    -o smtpd_proxy_filter=localhost:10026

heisst:
auf dem subbmission-port hast du einen Override gegenüber der
Einstellung in der main.cf für smtpd_client_restrictions, dass hierüber
einliefernde Clients falls authentifiziert einliefern dürfen.
Es existiert kein Override für smtpd_recipient_restriction.
Daher greift der aus der main.cf als nächstes (für die Phase "RCPT TO:..")
Und dort steht reject_unknown_client VOR permit_sasl_authenticated ...

Tausche die beiden und es wird gehen.. ;-)
(Allerdings wird evtl bei *solch* problematischen Clients auch einer der
reject_* davor auch noch greifen.. also am besten ganz nach oben mit der
permit_sasl_authenticated... und auch direkt noch permit_mynetworks vor
die reject_* ;-) )

Christian

Mehr Informationen über die Mailingliste Postfixbuch-users