Postfix, main.cf: Auth "lockern"

[robertkoeberl]

hallo!

 

standardm??ig ist es ja so eingestellt, dass wenn ein user eine domain "MeineDomain.at" hat, eine emailadresse "user1@MeineDomain.at" anlegen kann.

mit dieser "user1@MeineDomain.at" kann er dann auch senden und empfangen - unter der voraussetzung, dass er auch die absenderadresse z.b. im outlook "user1@MeineDomain.at" angibt!

tut er das nicht, kommt:

#553 5.7.1 <user2@MeineDomain.at>: Sender address rejected: not owned by user user1@MeineDomain.at 

 

hat dieser user jedoch eine alias-email, kann er mit dieser nicht senden!

AUCH wenn der user z.b. einen heim-server hat und ein mailrelay machen will, geht das nicht, da der user "user1@MeineDomain.at" als auth verwendet, aber die absenderadresse aber z.b. "user2@MeineDomain.at" ist.

 

Mein anliegen / ziel w?re es, die conf so umzubauen, dass der "user1@MeineDomain.at" zwar auch mit "user2@MeineDomain.at" und "user3@MeineDomain.at" senden darf, jedoch NICHT als absender "user1@AndereDomain.at" angeban kann.

 

kann mir hier jemand helfen?

[anbrosius]

Versuch mal, in der Postfix-Datei /etc/postfix/mysql-virtual_sender_permissions.cf die komplette Zeile mit dem query auszutauschen mit folgender:

query = select distinct u.username from mail_users u join mail_virtual v on (v.destination like concat('%%',u.email,'%%') or v.email_full = u.email) where v.email = '%s'
 

Damit sollte es eigentlich m?glich sein, auch Alias-Adressen (f?r die eine Weiterleitung auf's Postfach eingerichtet ist!) als Absender anzugeben.

Freue mich auf eine R?ckmeldung.

[merlin]

moin,

wieso postfix verbiegen, wenn der User doch in Outlook (und in den anderen Mailprogrammen!)  bei den smtp-Auth den, als Mailkonto angelegten, "user1@...." eintragen kann (und nicht den Haken macht bei "gleiche Einstellungen wie f?r Posteingang verwenden") ? 

 

Als Absendeadresse im Outlook oder als "Antwortadresse" kann man dann doch trotzdem den Alias im Mailprogramm angeben...

Da muss nix bei AUTH "gelockert" werden...

Und senden mit einem Alias - was soll das denn werden? Der Alias wird doch wohl auf ein vorhandenes Konto geleitet - mit dem sollte man dann auch authentifiziert senden... was passiert denn, wenn der Alias einer anderen Adresse zugeordnet wird ;-)

[anbrosius]

Als Absendeadresse im Outlook oder als "Antwortadresse" kann man dann doch trotzdem den Alias im Mailprogramm angeben...

Da muss nix bei AUTH "gelockert" werden...

 

Genau das geht eben nicht.

Postfix ?berpr?ft in der aktuellen Konfiguration (reject_sender_login_mismatch), ob die MailFrom-Adresse ?berhaupt dem User geh?rt, also ob die Absenderadresse auch gleich dem Postfach-Login ist.

[merlin]

ups,  wieder was gelernt und das im Froxlor-Forum :-)

ok.ich schreib mir das mal auf ...

"Prinzipiell erlaubt Postfix mit permit_sasl_authenticated jedem SASL-authentifizierten Benutzer beliebige FROM E-Mail-Adressen zu verwenden. Mit der Option reject_sender_login_mismatch wird dieses Verhalten verboten und ?berpr?ft ob der SASL-Username bzw. die damit verkn?pften Mail-Adressen und -Aliase mit dem FROM der E-Mail ?bereinstimmt"  

 

? klappt das ja dann mit der o.a. Anpassung, wenn  man es braucht ... dachte das geht nur ?ber policy. da k?nnt ich ja evtl. das login_mismatch aktivieren ...  

[anbrosius]

? klappt das ja dann mit der o.a. Anpassung, wenn  man es braucht ... dachte das geht nur ?ber policy. da k?nnt ich ja evtl. das login_mismatch aktivieren ...

 

Die Restriction "reject_sender_login_mismatch" sollte ja bereits aktiviert sein, wenn man die Standard-Configfiles von Froxlor so ?bernommen hat.

 

Das obige Query fragt in der Froxlor-DB ab, ob die MailFrom-Adresse mit dem versendeten Postfach verkn?pft ist. Sofern f?r diese E-Mail-Adresse in Froxlor eine Weiterleitung auf das gew?nschte Postfach einrichtet ist, kann diese verkn?pfte "Aliasadresse" als MailFrom-Adresse genutzt werden.

 

(Vielleicht tauscht d00p das f?r eine der n?chsten Versionen ja offiziell aus  )

[d00p]

Erscheint mir jetzt doch etwas spezieller...wenn sich dadurch das "normale" Verhalten nicht ?ndert, erstelle einen patch und mach einen pull-request auf github...dann kann man immernoch weitersehen.