Postfix ignoriert reject_sender_login_mismatch

[junkpad92]

Hallo,

 

ich brauche sehr dringend eure Hilfe.

 

Mein Postfix ignoriert die reject_sender_login_mismatch-Einstellung. Ich verwende die Froxlor Config.

 

Ich kann in Roundcube eine Identit?t mit bliebiger E-Mail-Adresse anlegen und anschlie?end mit dieser Mails verschicken. Es wird NICHT gepr?ft, ob der Nutzer mit dieser Mail-Adresse angemeldet ist.

 

Ich habe mich zu Tode gesucht nach dem Fehler, doch ich komme einfach nicht drauf, warum das so ist.

 

W?rde auch sofort Geld in die Hand nehmen und jemanden an meinen Server lassen.

 

Bitte um Hilfe, danke!

[junkpad92]

Ha! Draufgekommen:

 

Es liegt an der Reihenfolge der smtpd_sender_restrictions. Scheinbar MUSS reject_sender_login_mismatch an erster Stelle stehen, noch VOR permit_mynetworks. ABEEER: Das lag daran, dass ich das ganze immer ?ber Roundcube getestet habe. Und Roundcube liegt auf dem selben Server. Daher passt es in permit_mynetworks und wird sofort durchgelassen.

 

Von au?en (also mit Server-fremder IP) klappt die Restriktion tadellos.

 

---------------------------------------

 

Meiner Meinung nach ist es h?chst fahrl?ssig, die Einstellung wie gehabt zu belassen. Jedes PHP-Script auf dem Server kann so diese Sicherheitsstufe umgehen und mit beliebigen FROM versenden - da das PHP-Script ja auf dem Server also 127.0.0.1 liegt. Diese IP befindet sich in permit_mynetworks, daher werden diese Mails ungepr?ft an den Empf?nger weiter geschickt.

 

Meine Empfehlung: reject_sender_login_mismatch unbedingt VOR permit_mynetworks!

 

smtpd_sender_restrictions = reject_sender_login_mismatch,
        permit_mynetworks,
        permit_sasl_authenticated,
        #reject_unknown_helo_hostname,
        #reject_unknown_recipient_domain,
        reject_unknown_sender_domain

Stellt sich mir nur jetzt die Frage: Geh?ren nicht eigentlich ALLE rejects VOR permits? Sonst haben die rejects nach den permits ?berhaupt keine Wirkung ...

[BNoiZe]

PHP kann sowieso mit aktivierter Mail-Funktion auch ohne SMTP-Server Mails versenden, wenn dann musst du die auch ausmachen.

[junkpad92]

Genau, ist die ausgestellt und wird mit SMTP verschickt (z. B. in WordPress), kann die Restriktion umgangen werden, da permit_mynetworks zutrifft.

 

Auch kann sich jeder Kunde Roundcube installieren und bequem den Absender faken. Dies kann nat?rlich von Spamversendern genutzt werden.

 

Ich spreche das an, weil ich gerade selbst mit dem Szenario konfrontiert war.