Re: postfix/dovecot: SASL Auth in SMTP für alle EMails (telnet)

christoph.machon at Verzinkerei-Rentrop.de christoph.machon at Verzinkerei-Rentrop.de
Di Sep 8 10:13:40 CEST 2015


Guten Morgen, 

danke Kai, das ist fast das was ich wollte, nur scheint es halb zu
funktionieren. Meine Domain verlangt eine Authentifizierung, aber dafür
alle anderen ausgedachten nicht. Wie kann ich diese ausschließen?

Versuch auf Port 25:
Connected to mail.meinedomain.org.
Escape character is '^]'.
220 mail.meinedomain.org ESMTP (FreeBSD)
EHLO meinedomain.org
250-meinedomain.org
250-PIPELINING
250-SIZE 50000000
250-VRFY
250-ETRN
250-STARTTLS
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
mail from: fantasie at google.com (ausgedachte email Adresse)
250 2.1.0 Ok
rcpt to: mail at domaindrei.de
250 2.1.5 Ok


Woran kann das liegen?

Hier meine main.cf:

...
smtpd_sender_login_maps =
hash:/usr/local/etc/postfix/controlled_envelope_senders

smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_sasl_security_options = noanonymous
smtpd_sasl_tls_security_options = noanonymous
broken_sasl_auth_clients = yes
smtpd_sasl_local_domain = $myhostname
smtpd_sasl_auth_enable = yes

smtpd_client_restrictions =     permit_mynetworks,
                                permit_sasl_authenticated,
                                reject_unknown_hostname,
                                reject_rbl_client zen.spamhaus.org,
                                reject_rbl_client bl.spamcop.net,
                                reject_rbl_client cbl.abuseat.org
smtpd_delay_reject = yes
smtpd_helo_required = yes
smtpd_helo_restrictions =       permit_mynetworks,
##                              reject_non_fqdn_helo_hostname,
                                reject_invalid_helo_hostname
smtpd_sender_restrictions =     permit_mynetworks,
                                permit_sasl_authenticated,
                                reject_unknown_address,
                                reject_non_fqdn_sender,
                                reject_unknown_sender_domain
smtpd_relay_restrictions =      permit_mynetworks,
                                permit_sasl_authenticated,
                                reject_unauth_destination
smtpd_recipient_restrictions =  permit_mynetworks,
                                reject_sender_login_mismatch,

#reject_unauthenticated_sender_login_mismatch,
                                permit_sasl_authenticated,
                                reject_unauth_destination,
                                reject_rbl_client zen.spamhaus.org,
                                reject_rhsbl_reverse_client
dbl.spamhaus.org,
                                reject_rhsbl_helo dbl.spamhaus.org,
                                reject_rhsbl_sender dbl.spamhaus.org
...


Die controlled_envelope_senders:
# envelope sender       owners (SASL login names)
@domaineins.org          mail at domaineins.org
@domainzwei.org             develop at domainzwei.org, mail at domainzwei.org
@domaindrei.de              mail at domaindrei.de



Am Montag, den 07.09.2015, 15:42 +0200 schrieb Kai Fürstenberg:
> Am 07.09.2015 um 15:32 schrieb christoph.machon at Verzinkerei-Rentrop.de:
> > @Peter
> > sowohl als auch. Das Problem tritt bei mir auf Port 25 und 587 auf. 
> > 
> > @Kai
> > da hast du mich etwas missverstanden. Stell dir folgendes vor:
> > Du bist Admin im grossen Konzern. Ein Angreifer sendet eine EMail von
> > chef at grosserkonzern.de mit Virus etc. an
> > mitarbeiter1 at grosserkonzern.de .
> > Ich finde das sehr uncool.
> > 
> > Auch SPAM lassen sich so innerhalb der Domain versenden.
> > 
> > Ich möchte das, wenn ich mich per Telnet oder openssl s_client auf dem
> > smtp einlogge, ich nach einer Auth. gefragt werde, auch wenn ich
> > innerhalb meiner Domain eine Email versende.
> > 
> > Ich hoffe ich habe das Problem nun etwas verständlicher beschrieben.
> > Wer mir nicht glauben will, bittet testet es an euren EMail Servern.
> 
> du könntest mit reject_sender_login_mismatch oder
> reject_unauthenticated_sender_login_mismatch in den
> smtpd_recipient_restrictions ausschließen, dass jemand vorgibt von dir
> zu sein, ohne dass er eingeloggt oder korrekt eingeloggt ist.
> 

-- 
Christoph Machon <machon at verzinkerei-rentrop.de>


Mehr Informationen über die Mailingliste Postfixbuch-users