PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : local spam auf postfix verbieten



steam
25.07.04, 15:17
Hallo :)
Habe da ein kleines Problemmchen was auch gross werden kann. Folgendes : Ich habe einen Postfix als mailserver lauffen. Open relay auch geschlossen und mit einem openrelay-check-skript ausprobiert -> server sicher. Nun habe ich noch einen Test gemacht und gefunden das ich noch nicht alle Loecher geschlossen habe und zwar geht es um local spam.
D.h wenn ich als fakeuser@mydomain.de einen email an existuser@mydomain.de sende, dann wird die mail intern zngenommem und auch zugestellt, obwohl der fakeuser@mydomain.de nichr existiert. Damit kann jeder die existierende user mit spam aus eigenen server ueberflueten.
Hier ist meine main.cf:


queue_directory = /var/spool/postfix
command_directory = /usr/sbin
daemon_directory = /usr/lib/postfix
mail_owner = postfix
default_privs = autoresponder
myhostname = sag-ich-nicht.xx
mydomain = sag-ich-nicht.xx
myorigin = $myhostname
inet_interfaces = $myhostname, localhost
mydestination = $myhostname, localhost.$mydomain, $mydomain, smtp.$mydomain
local_recipient_maps = unix:passwd.byname $alias_maps
mynetworks_style = host
relay_domains = $mydestination, $mydomain, hash:/etc/postfix/confixx_localDomains
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
mail_spool_directory = /var/mail
debug_peer_level = 2
debugger_command =
PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin
xxgdb $daemon_directory/$process_name $process_id & sleep 5

sendmail_path = /usr/sbin/sendmail
newaliases_path = /usr/bin/newaliases
mailq_path = /usr/bin/mailq
setgid_group = maildrop
manpage_directory = /usr/share/man
sample_directory = /usr/share/doc/packages/postfix/samples
readme_directory = /usr/share/doc/packages/postfix/README_FILES
mail_spool_directory = /var/mail
canonical_maps = hash:/etc/postfix/canonical
virtual_maps = hash:/etc/postfix/confixx_virtualUsers
relocated_maps = hash:/etc/postfix/relocated
sender_canonical_maps = hash:/etc/postfix/sender_canonical
masquerade_exceptions = root
masquerade_classes = envelope_sender, header_sender, header_recipient
myhostname = sag-ich-nicht.xx
program_directory = /usr/lib/postfix
masquerade_domains =
mydestination = $myhostname, localhost.$mydomain
defer_transports =
disable_dns_lookups = no
relayhost =
content_filter =
mailbox_command = /usr/bin/procmail
mailbox_transport =
smtpd_client_restrictions =
smtpd_helo_required = no
smtpd_helo_restrictions =
strict_rfc821_envelopes = no
smtpd_recipient_restrictions = permit_sasl_authenticated,permit_mynetworks,reject _unauth_destination
smtp_use_tls = no
mailbox_size_limit = 0
message_size_limit = 2048000000
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
broken_sasl_auth_clients = yes
smtpd_use_tls = yes
smtpd_tls_key_file = /etc/postfix/key.pem
smtpd_tls_cert_file = /etc/postfix/cert.pem
smtpd_tls_CAfile = /etc/ssl/certs/sag-ich-nicht.xx.cf
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
tls_random_source = dev:/dev/urandom


Also nochmalls das problem : wenn ich asl nichtautorisierter user ueber den server mails versenden will - relay geschlossen. Wenn ich aber als nichtautorisierter user die local zustellen will - wird es zugestellt. Wie stelle ich es so das der user sich zwingend autorisieren soll ?

Roger Wilco
25.07.04, 15:58
Wenn ich aber als nichtautorisierter user die local zustellen will - wird es zugestellt. Wie stelle ich es so das der user sich zwingend autorisieren soll ?
Und wie willst du dann überhaupt Mails erhalten? Wenn Postfix für die bestimmte Domain zuständig ist, dann nimmt es die Mails für diese Domain eben an.
Was würde wohl passieren, wenn man sich immer authentifizieren müsste, selbst wenn deine Domain das Ziel ist?
Richtig, es würden gar keine Mails mehr ankommen, weil die anderen SMTP-Server ja nicht wissen, wie sie sich authentifizieren sollen...

steam
25.07.04, 16:50
tja, dann soll es heissen das jeder spamer sich auch einen namen auf meinem domain ausdenken kann, sagen wir boese-spammer@mydomain.de und alle normalen user mit spam ueberflueten ? ne-ne, so kann es nicht sein, das muss doch irgendwie konfigurierbar sein, oder ?

Roger Wilco
25.07.04, 17:02
tja, dann soll es heissen das jeder spamer sich auch einen namen auf meinem domain ausdenken kann, sagen wir boese-spammer@mydomain.de und alle normalen user mit spam ueberflueten ? ne-ne, so kann es nicht sein, das muss doch irgendwie konfigurierbar sein, oder ?
Prinzipiell ja. Solange der Benutzer, an den die Mail gehen soll, existiert und du keine anderen Programme (z. B. DSPAM, Spamassassin u. ä.) einsetzt.
Der MTA (in diesem Fall Postfix) ist nunmal für deine Domain zuständig (laut Konfiguration) und nimmt daher auch alle Mails für diese an.