Jump to content
Froxlor Forum
  • 0

Postfix soll nicht vorhandene Absender-Adressen ablehnen


tt33tt

Question

Hallo alle zusammen,

 

ich habe Froxlor mit Courier im Einsatz. Nun möchte ich verhindern, dass irgendein Skript von einer nicht vorhandenen E-Mail-Adresse aus schreiben kann.

In der main.cf habe ich folgende Einstellungen aktiv:

smtpd_sender_restrictions = permit_mynetworks,
	reject_sender_login_mismatch,
#	permit_sasl_authenticated, 
#	reject_unknown_helo_hostname, 
	reject_unknown_recipient_domain, 
	reject_unknown_sender_domain,
	reject_unlisted_sender,
	reject_unlisted_recipient

    reject_unknown_sender_domain,

    reject_unlisted_sender,
    reject_unlisted_recipient

zeigen keine Wirkung, wenn ich sendmail benutze.

Über smtpd_sender_login_maps = mysql:/etc/postfix/mysql-virtual_sender_permissions.cf müssten doch alle Sender bekannt sein oder?

Muss ich noch local_recipient_maps = $virtual_mailbox_maps oder smtpd_sender_login_maps = mysql:/etc/postfix/virtual/sender-login-maps.cf aktivieren?

Wie würde das funktionieren?

Link to comment
Share on other sites

5 answers to this question

Recommended Posts

Welche Relevanz hat eigentliche die Reihenfolge? Dazu habe ich nichts beim Googeln gefunden.

Beispiel:

smtpd_sender_restrictions = permit_mynetworks,
    reject_sender_login_mismatch,
#   permit_sasl_authenticated, 
#   reject_unknown_helo_hostname, 
    reject_unknown_recipient_domain,
    reject_unknown_sender_domain,
    reject_unlisted_sender,
    reject_unlisted_recipient,
    permit

Bedeutet permit_mynetworks an dieser Stelle, dass er die Verarbeitung abbricht, sofern der Sender im lokalen Netzwerk ist und einfach alles erlaubt? Warum muss ich das überhaupt angeben?

Bei einem reject wird die Abarbeitung sofort verlassen und die Mail abgelehnt?

Muss ich am Schluss ein permit haben?

 

unverified_sender klappt nicht. IRgendetwas muss ich allgemein falsch gemacht haben. Hier meine Config:

smtpd_sender_restrictions =
    reject_sender_login_mismatch,
#    permit_sasl_authenticated,
#    reject_unknown_helo_hostname,
    reject_unknown_recipient_domain,
    reject_unknown_sender_domain,
    reject_unlisted_sender,
    reject_non_fqdn_sender,
    reject_unknown_sender_domain,
    reject_unverified_sender,
    permit_mynetworks,
    permit
Link to comment
Share on other sites

Welche Relevanz hat eigentliche die Reihenfolge? Dazu habe ich nichts beim Googeln gefunden.

Einen Link habe ich auch nicht parat, aber die restrictions arbeiten nach dem Ja, Nein, Vielleicht -Prinzip.

permit_* = Ja, Mail erlaubt

reject_* = Nein, Mail ablehnen

check_*= hier können verschiedene Aktionen erfolgen

Trifft nun eine Bedingung zu, dann ist entschieden was mit der Mail passiert, trifft sie nicht zu, wird die Mail weiterverarbeitet. So macht auch das permit am Ende Sinn, einiges wurde vorzeitig erlaubt, einiges abgelhetn, das permit bezieht sich auf den Rest.

Eine Reihenfolge gibt es u.a. auch deshalb, weil es billige und teure Tests gibt. Es ist ressourcenschonend zu prüfen ob eine Adresse existiert, es ist aufwändig, den Inhalt durch einen Virenfilter zu jagen.

Link to comment
Share on other sites

Bedeutet permit_mynetworks an dieser Stelle, dass er die Verarbeitung abbricht, sofern der Sender im lokalen Netzwerk ist und einfach alles erlaubt? Warum muss ich das überhaupt angeben?

Bei einem reject wird die Abarbeitung sofort verlassen und die Mail abgelehnt?

Muss ich am Schluss ein permit haben?

 

unverified_sender klappt nicht.

permit_mynetworks : nur ein Prüfungsabbruch; kommt die Mail aus einem der Netze, die in $mynetworks definiert sind, wird denen vertraut und nicht weiter geprüft. man muss das nicht angeben, es macht das Leben leichter (i.d.R. vertraut man dem eigene Server)

reject_ : ja, es wird entschieden, die Mail nicht zuzulassen, der Client erfährt das, jede weitere Verarbeitung findet nicht statt

permit : ja, macht Sinn, es sei denn Du has mit rejects und permits wirklich alle Fälle abgedeckt

 

Ich hatte die SenderAddressVerification schon an - mich aber wegen hässlicher greylisting-"Schleifen" (Verzögerungen bis über Backup-MXe) dagegen entschieden. Welche Version von postfix hast Du? Hilft evtl. : http://www.postfix.org/ADDRESS_VERIFICATION_README.html

Link to comment
Share on other sites

Danke für die Erklärungen zum Regelwerk! Habe testweise nun alle permits an den Schluss gepackt.

 

postconf -d mail_version

mail_version = 2.11.0
 

Aus http://www.postfix.org/ADDRESS_VERIFICATION_README.html bin ich noch nicht so richtig schlau geworden.

Daher würde ich gerne irgendwo Debuggen wie er die Regeln checkt. Das hier in der /etc/postfix/master.cf habe ich getestet:

smtp unix - - n - - smtp -vv
smtp inet n - n - - smtpd -vv

Allerdings kommt da nirgendwo meine gefakte Absender-Adresse vor  :wacko: //edit: Die E-Mail habe ich per sendmail -t gesendet. Sie sind durchgekommen.

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.



×
×
  • Create New...