Re: postfix/dovecot: SASL Auth in SMTP für alle EMails (telnet)

[christoph.machon at Verzinkerei-Rentrop.de]

Guten Morgen Andreas,

in mynetworks habe ich nur die localhost stehen.
Mit der Reihenfolge permit_mynetworks etc. habe ich schon gespielt.
Leider ohne irgendwelche Auswirkungen auf die Auth. 

Am Dienstag, den 08.09.2015, 03:27 +0300 schrieb Andreas Tauscher:
> On 09/07/2015 03:42 PM, christoph.machon at Verzinkerei-Rentrop.de wrote:
> > Hallo Liste,
> > 
> > ich nutze ein aktuelles FreeBSD mit postfix und dovecot (IMAP/SASL).
> > Alles funktioniert wunderbar, bis auf die Tatsache das ich per Telnet
> > ohne eine Auth.Emails an meine Domains (intern) senden kann. (Relay ist
> > nicht offen).
> > 
> > Wie schaut so eine main.cf aus, die das verbittet? Habe bisher keinen
> > funktionierenden Ansatz gefunden :( 
> 
> Wie sieht denn mynetworks aus?
> sicherlich etwa so:
> 
> mynetworks = 127.0.0.0/8 internes-netz/maske
> 
> und wenn dann kommt doch in smtpd_recipient_restrictions mit Sicherheit
> permit_mynetworks vor permit_sasl_authenticated?
> 
> Damit sagst Du postfix ganz eindeutig: Alles was aus $mynetworks kommt
> ist auch ohne auth OK.
> 
> Also: Aus mynetworks rausnehmen was da nicht sein muß. Ist dann also auf
> 127.0.0.0/8 reduziert. Falls Du Server o.ä. hast was sich nicht
> authentifizieren kann oder will: Einzeln in mynetworks aufnehmen und
> permit_mynetworks kommt irgendwo gaaaaaaanz weit hinten in
> smtpd_recipient_restrictions. permit_sasl_authenticated kommt schon
> ziemlich am Anfang.
> Port 25 ist für Clients verboten. Die müssen submission benutzen.
> Ansonsten verschenkt man sich viele Möglichkeiten mit amavis policy banks.
> *_sender_login_mismatch ist natürlich zusätzlich keine schlechte Idee.
> Für wichtige/kritische mailadressen dann noch eingene DKIM Signaturen,
> die auch intern strikt geprüft werden.
> Eigentlich alles intern genauso strikt prüfen als wenn es von extern
> wäre. Ausnahme: RBLs abfragen ist im LAN natürlich etwas sinnfrei.
> 
> 
> Andi
> 

-- 
Mit freundlichen Grüßen


Christoph Machon
IT-Administrator
----------------------------------
Verzinkerei Rentrop GmbH

Ebbetalstrasse 26
58840 Plettenberg

Postfach 6006
58831 Plettenberg


Telefon 0 23 91 / 97 87 -53
Telefax 0 23 91 / 7 06 33


christoph.machon at verzinkerei-rentrop.de
www.verzinkerei-rentrop.de


HRB-Nr. 2854, Amtsgericht Iserlohn
GF: Dr.-Ing. Ina Etzler-Rentrop, Dipl.-Ing. Manfred Rosendahl

Diese E-Mail enthält vertrauliche und/oder rechtlich geschützte
Informationen. Wenn Sie nicht der richtige Adressat sind oder diese
E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den
Absender und vernichten Sie diese E-Mail. Das unerlaubte Kopieren sowie
die unbefugte Weitergabe dieser E-Mail ist nicht gestattet.

This e-mail may contain confidential and/or privileged information. If
you are not the intended recipient (or have received this e-mail in
error) please notify the sender immediately and destroy this e-mail. Any
unauthorized copying, disclosure or distribution of the material in this
e-mail is strictly forbidden.