tt33tt Posted August 19, 2016 Share Posted August 19, 2016 Hallo alle zusammen, ich habe Froxlor mit Courier im Einsatz. Nun möchte ich verhindern, dass irgendein Skript von einer nicht vorhandenen E-Mail-Adresse aus schreiben kann. In der main.cf habe ich folgende Einstellungen aktiv: smtpd_sender_restrictions = permit_mynetworks, reject_sender_login_mismatch, # permit_sasl_authenticated, # reject_unknown_helo_hostname, reject_unknown_recipient_domain, reject_unknown_sender_domain, reject_unlisted_sender, reject_unlisted_recipient reject_unknown_sender_domain, reject_unlisted_sender, reject_unlisted_recipient zeigen keine Wirkung, wenn ich sendmail benutze. Über smtpd_sender_login_maps = mysql:/etc/postfix/mysql-virtual_sender_permissions.cf müssten doch alle Sender bekannt sein oder? Muss ich noch local_recipient_maps = $virtual_mailbox_maps oder smtpd_sender_login_maps = mysql:/etc/postfix/virtual/sender-login-maps.cf aktivieren? Wie würde das funktionieren? Link to comment Share on other sites More sharing options...
rseffner Posted August 21, 2016 Share Posted August 21, 2016 smtpd_reject_unlisted_sender und reject_unlisted_sender prüfen doch 'nur' die domain. Was ist mit reject_unverified_sender auch wenn das nicht in die tables schaut sondern per smtp abfragt? Link to comment Share on other sites More sharing options...
tt33tt Posted August 22, 2016 Author Share Posted August 22, 2016 Welche Relevanz hat eigentliche die Reihenfolge? Dazu habe ich nichts beim Googeln gefunden. Beispiel: smtpd_sender_restrictions = permit_mynetworks, reject_sender_login_mismatch, # permit_sasl_authenticated, # reject_unknown_helo_hostname, reject_unknown_recipient_domain, reject_unknown_sender_domain, reject_unlisted_sender, reject_unlisted_recipient, permit Bedeutet permit_mynetworks an dieser Stelle, dass er die Verarbeitung abbricht, sofern der Sender im lokalen Netzwerk ist und einfach alles erlaubt? Warum muss ich das überhaupt angeben? Bei einem reject wird die Abarbeitung sofort verlassen und die Mail abgelehnt? Muss ich am Schluss ein permit haben? unverified_sender klappt nicht. IRgendetwas muss ich allgemein falsch gemacht haben. Hier meine Config: smtpd_sender_restrictions = reject_sender_login_mismatch, # permit_sasl_authenticated, # reject_unknown_helo_hostname, reject_unknown_recipient_domain, reject_unknown_sender_domain, reject_unlisted_sender, reject_non_fqdn_sender, reject_unknown_sender_domain, reject_unverified_sender, permit_mynetworks, permit Link to comment Share on other sites More sharing options...
rseffner Posted August 22, 2016 Share Posted August 22, 2016 Welche Relevanz hat eigentliche die Reihenfolge? Dazu habe ich nichts beim Googeln gefunden. Einen Link habe ich auch nicht parat, aber die restrictions arbeiten nach dem Ja, Nein, Vielleicht -Prinzip. permit_* = Ja, Mail erlaubt reject_* = Nein, Mail ablehnen check_*= hier können verschiedene Aktionen erfolgen Trifft nun eine Bedingung zu, dann ist entschieden was mit der Mail passiert, trifft sie nicht zu, wird die Mail weiterverarbeitet. So macht auch das permit am Ende Sinn, einiges wurde vorzeitig erlaubt, einiges abgelhetn, das permit bezieht sich auf den Rest. Eine Reihenfolge gibt es u.a. auch deshalb, weil es billige und teure Tests gibt. Es ist ressourcenschonend zu prüfen ob eine Adresse existiert, es ist aufwändig, den Inhalt durch einen Virenfilter zu jagen. Link to comment Share on other sites More sharing options...
rseffner Posted August 22, 2016 Share Posted August 22, 2016 Bedeutet permit_mynetworks an dieser Stelle, dass er die Verarbeitung abbricht, sofern der Sender im lokalen Netzwerk ist und einfach alles erlaubt? Warum muss ich das überhaupt angeben? Bei einem reject wird die Abarbeitung sofort verlassen und die Mail abgelehnt? Muss ich am Schluss ein permit haben? unverified_sender klappt nicht. permit_mynetworks : nur ein Prüfungsabbruch; kommt die Mail aus einem der Netze, die in $mynetworks definiert sind, wird denen vertraut und nicht weiter geprüft. man muss das nicht angeben, es macht das Leben leichter (i.d.R. vertraut man dem eigene Server) reject_ : ja, es wird entschieden, die Mail nicht zuzulassen, der Client erfährt das, jede weitere Verarbeitung findet nicht statt permit : ja, macht Sinn, es sei denn Du has mit rejects und permits wirklich alle Fälle abgedeckt Ich hatte die SenderAddressVerification schon an - mich aber wegen hässlicher greylisting-"Schleifen" (Verzögerungen bis über Backup-MXe) dagegen entschieden. Welche Version von postfix hast Du? Hilft evtl. : http://www.postfix.org/ADDRESS_VERIFICATION_README.html Link to comment Share on other sites More sharing options...
tt33tt Posted August 22, 2016 Author Share Posted August 22, 2016 Danke für die Erklärungen zum Regelwerk! Habe testweise nun alle permits an den Schluss gepackt. postconf -d mail_version mail_version = 2.11.0 Aus http://www.postfix.org/ADDRESS_VERIFICATION_README.html bin ich noch nicht so richtig schlau geworden. Daher würde ich gerne irgendwo Debuggen wie er die Regeln checkt. Das hier in der /etc/postfix/master.cf habe ich getestet: smtp unix - - n - - smtp -vvsmtp inet n - n - - smtpd -vv Allerdings kommt da nirgendwo meine gefakte Absender-Adresse vor //edit: Die E-Mail habe ich per sendmail -t gesendet. Sie sind durchgekommen. Link to comment Share on other sites More sharing options...
Question
tt33tt
Hallo alle zusammen,
ich habe Froxlor mit Courier im Einsatz. Nun möchte ich verhindern, dass irgendein Skript von einer nicht vorhandenen E-Mail-Adresse aus schreiben kann.
In der main.cf habe ich folgende Einstellungen aktiv:
reject_unknown_sender_domain,
reject_unlisted_sender,
reject_unlisted_recipient
zeigen keine Wirkung, wenn ich sendmail benutze.
Über smtpd_sender_login_maps = mysql:/etc/postfix/mysql-virtual_sender_permissions.cf müssten doch alle Sender bekannt sein oder?
Muss ich noch local_recipient_maps = $virtual_mailbox_maps oder smtpd_sender_login_maps = mysql:/etc/postfix/virtual/sender-login-maps.cf aktivieren?
Wie würde das funktionieren?
Link to comment
Share on other sites
5 answers to this question
Recommended Posts
Archived
This topic is now archived and is closed to further replies.