PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : [Postfix + SMTP Auth] Verbindung 'hängt'



Lord Mandrake
28.08.05, 12:45
Hallo,

Ich hab grad mein Postfix (2.2.5) um Cyrus SASL (2.1.21) erweitert.
Das klappt ganz gut solange ich in der main.cf für smtpd_recipient_restrictions keinen Wert festlege:


bash-3.00# server.tld 25
Trying 81.169.165.16...
Connected to server.tld.
Escape character is '^]'.
server.tld ESMTP Postfix
EHLO lol
250-server.tld
250-PIPELINING
250-SIZE 10240000
250-VRFY
250-ETRN
250-AUTH OTP DIGEST-MD5 CRAM-MD5 LOGIN PLAIN
250-AUTH=OTP DIGEST-MD5 CRAM-MD5 LOGIN PLAIN
250 8BITMIME
AUTH PLAIN bWFuZHJha2UAbWFuZHJha2UAbWFkczAxbGNk
235 Authentication successful

Wenn ich allerdings z.B.

smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks
in die main.cf schreibe passiert folgendes:


bash-3.00# telnet server.tld 25
Trying 81.169.165.16...
Connected to server.tld.
Escape character is '^]'.


Danach "hängt" die Verbindung, ich kann schreiben was ich will, nur ein 'killall telnet' hilft.
Kennt jemand den Grund dafür?

MfG Lord Mandrake

`kk
28.08.05, 13:25
Wie lange haengts? Kommt gar keine Antwort?

Lord Mandrake
28.08.05, 13:41
Es kommt keine Antwort aber auch kein Timeout.
Die Verbindung ist zwar offen aber Postfix meldet sich einfach nicht...

`kk
28.08.05, 18:14
Haenge mal in der master.cf bei smtpd ein "-v" ran.
Poste anschließend die Mail-Logs.

Gruß
Kai

Lord Mandrake
29.08.05, 00:28
So, ich hab mittlerweile den Fehler gefunden:


smtpd_recipient_restrictions = permit_mynetworks,
permit_sasl_authenticated,
reject_unauth_destination

Laut Postfix Manual muss mindestens ein reject_* vorhanden sein, allerdings wird das im selben Manual unter "Postfix SASL Howto" mit keinem Wort erwähnt...

Aber jetzt steh ich vor dem nächten "Problem".
Ich hab Seitenweise

Aug 29 00:09:25 h621474 postfix/smtpd[10048]: NOQUEUE: reject: RCPT from pcp0010315146pcs.avenel01.nj.comcast.net[68.45.52.124]: 554 <pg123456@yahoo.com.tw>: Relay access denied; from=<crbcgssssrtq@yahoo.com.tw> to=<pg123456@yahoo.com.tw> proto=SMTP helo=<pcp0010315146pcs.avenel01.nj.comcast.net>
Aug 29 00:09:29 h621474 postfix/smtpd[10048]: NOQUEUE: reject: RCPT from pcp0010315146pcs.avenel01.nj.comcast.net[68.45.52.124]: 554 <h471210@yahoo.com.tw>: Relay access denied; from=<crbcgssssrtq@yahoo.com.tw> to=<h471210@yahoo.com.tw> proto=SMTP helo=<pcp0010315146pcs.avenel01.nj.comcast.net>
Aug 29 00:09:37 h621474 postfix/smtpd[10048]: NOQUEUE: reject: RCPT from pcp0010315146pcs.avenel01.nj.comcast.net[68.45.52.124]: 554 <a9745321@yahoo.com.tw>: Relay access denied; from=<crbcgssssrtq@yahoo.com.tw> to=<a9745321@yahoo.com.tw> proto=SMTP helo=<pcp0010315146pcs.avenel01.nj.comcast.net>
Aug 29 00:09:44 h621474 postfix/smtpd[10048]: NOQUEUE: reject: RCPT from pcp0010315146pcs.avenel01.nj.comcast.net[68.45.52.124]: 554 <harmonycat530@yahoo.com.tw>: Relay access denied; from=<crbcgssssrtq@yahoo.com.tw> to=<harmonycat530@yahoo.com.tw> proto=SMTP helo=<pcp0010315146pcs.avenel01.nj.comcast.net>
Aug 29 00:09:51 h621474 postfix/smtpd[10048]: NOQUEUE: reject: RCPT from pcp0010315146pcs.avenel01.nj.comcast.net[68.45.52.124]: 554 <pmoe23@yahoo.com.tw>: Relay access denied; from=<crbcgssssrtq@yahoo.com.tw> to=<pmoe23@yahoo.com.tw> proto=SMTP helo=<pcp0010315146pcs.avenel01.nj.comcast.net>
in meiner mail.log.
Sieht so aus als würde jemand versuchen meinen Server als Open Relay zu missbrauchen, was allerdings ja net funktioniert.
Gibts ne Möglichkeit das zu verhindern? Weil das macht es ganz schön schwer die "wichtigen" Einträge im Log zu finden...

shootie
29.08.05, 09:28
ich würde dir logwatch empfehlen ist ein nettes tool um die logs auseinander zu fiesseln und die einiges zu erleichtern.

`kk
29.08.05, 14:27
Sieht so aus als würde jemand versuchen meinen Server als Open Relay zu missbrauchen, was allerdings ja net funktioniert.
Gibts ne Möglichkeit das zu verhindern? Weil das macht es ganz schön schwer die "wichtigen" Einträge im Log zu finden...

Realtime Blackhole Lists, Greylisting oder falls es immer der
gleiche Host ist, manuell blocken.

Verhindern kannst du den Versuch natuerlich nicht.