PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Postfix mit sasl auth (bei gleicher Domain kein sasl auth)



Herr Kommisar
28.11.06, 11:33
Hallo,

BS: Suse 9.0
postfix-2.0.14-41
cyrus-sasl-2.1.15-57

ich versende per Telnet eine E-Mail

Beispiel 1:
- telnet mail.domainname.de 25
- helo mail.domainname.de
- mail from: uuu@keineahnung.de (eine andere Domain)
- rcpt to: info@pewterunwohl.de
- relay access denied
und die Mail wird nicht versendet (hier greift sasl auth)


Beispiel 2:
- telnet mail.domainname.de 25
- helo mail.domainname.de
- mail from: uuu@domainname.de (diese E-Mail existiert nicht!)
- rcpt to: info@domainname.de (diese E-Mail existiert)
- data
- bla bla bla
- .
und die Mail wird versendet (kein sasl auth)


was muss ich erweitern/ändern um die mail from: adresse gegen die virtual datei zu prüfen und wie kann ich den sasl auth im Beispiel 2 aktivieren ?


Auszug aus der main.cf
# BEGINN main.cf ######################################

smtpd_client_restrictions =
smtpd_helo_required = yes
smtpd_helo_restrictions = reject_invalid_hostname,
reject_non_fqdn_hostname,
reject_unauth_pipelining,
permit_mynetworks,
permit_sasl_authenticated,
reject_rbl_client list.dsbl.org,
reject_rbl_client relays.ordb.org,
reject_rbl_client opm.blitzed.org,
reject_rbl_client cbl.abuseat.org,
reject_rbl_client dnsbl.njabl.org,

smtpd_sender_restrictions = reject_non_fqdn_hostname,
reject_unauth_pipelining,
reject_unknown_sender_domain,
permit_mynetworks,
permit_sasl_authenticated,
reject_unauth_destination,
check_client_access hash:/etc/postfix/access,
check_sender_access hash:/etc/postfix/check_daten/ip-block,
check_sender_access hash:/etc/postfix/access,
check_client_access hash:/etc/postfix/check_daten/ip-block,
reject_rbl_client list.dsbl.org,
reject_rbl_client relays.ordb.org,
reject_rbl_client opm.blitzed.org,
reject_rbl_client cbl.abuseat.org,
reject_rbl_client dnsbl.njabl.org,


smtpd_recipient_restrictions = reject_unknown_sender_domain,
reject_non_fqdn_sender,
reject_invalid_hostname,
reject_non_fqdn_hostname,
reject_non_fqdn_recipient,
reject_unauth_pipelining,
reject_unknown_recipient_domain,
permit_mynetworks,
check_recipient_access hash:/etc/postfix/access,
check_client_access hash:/etc/postfix/check_daten/ip-block,
permit_sasl_authenticated,
reject_unauth_destination,
reject_rbl_client list.dsbl.org,
reject_rbl_client relays.ordb.org,
reject_rbl_client opm.blitzed.org,
reject_rbl_client cbl.abuseat.org,
reject_rbl_client dnsbl.njabl.org,
permit


smtpd_data_restrictions =

# ENDE main.cf ######################################


Danke

undefined
28.11.06, 12:37
Ich glaube du steigst bei Restrictions zu früh aus.


permit_sasl_authenticated
permit_mynetworks

Tip: Debugger Log auf 2 und warn_if_reject verwenden.

Herr Kommisar
28.11.06, 22:00
permit_sasl_authenticated : bedeutet doch [OK] bei sasl auth

permit_mynetworks : bedeutet doch [OK] wenn der client in meinem Netzwerk liegt ($mydestination)

aber beides trifft doch bei mir nicht zu da ich ja über eine dynamische ip per telnet reinkomme und ich mich nicht authentifiziere also gibts in beiden Fällen kein [OK]

aber leider kein Erfolg

ich kann immer noch Mails ohne sasl auth versenden


aber ich hab immerhin einen noch was gefunden
smtpd_sender_restrictions =
permit_sasl_authenticated,
permit_mynetworks,
reject_unauth_destination,
reject_rhsbl_client rhsbl.sorbs.net,
reject_rhsbl_sender rhsbl.sorbs.net,
reject_rbl_client relays.ordb.org,
reject_rbl_client list.dsbl.org,
reject_rbl_client sbl.spamhaus.org,
reject_rbl_client unconfirmed.dsbl.org,
reject_rbl_client list.dsbl.org,
reject_rbl_client dynablock.njabl.org,
reject_rbl_client dialup.blacklist.jippg.org,
reject_rbl_client multihop.dsbl.org,
reject_rbl_client dialup.rbl.kropka.net,
reject_rbl_client opm.blitzed.org,
reject_rbl_client cbl.abuseat.org,
reject_non_fqdn_sender,
reject_non_fqdn_recipient,
reject_unknown_recipient_domain,
reject_unauth_pipelining

die variante blockt schon mal ab dynablock.org wenn ich mich mit einer dynamischen IP einlogge

is zwar nich genau das was ich wollte...

undefined
29.11.06, 13:22
permit_sasl_authenticated : bedeutet doch [OK] bei sasl auth
Ja und gleichzeitig das diese Restriction beendet wird.


ich kann immer noch Mails ohne sasl auth versenden
Hast die DNS Auflösung am Laufen?

Hier mal mein Restriction Block siehe besonders check_client_access, check_sender_access und check_recipient_access


################# START SMTP Restriktionen #################
## @example warn_if_reject reject_non_fqdn_hostname
## smtpd_client_restrictions
smtpd_client_restrictions =
check_client_access hash:/etc/postfix/Restriction/client_access
permit_sasl_authenticated
permit_my_networks
reject_unauth_destination
reject_invalid_hostname
reject_non_fqdn_hostname
reject_unknown_hostname
reject_unauth_pipelining
reject_rhsbl_sender dsn.rfc-ignorant.org
permit

## smtpd_helo_restrictions
smtpd_helo_restrictions =
check_helo_access pcre:/etc/postfix/Check/Helo
reject_invalid_hostname
reject_non_fqdn_helo_hostname
reject_unknown_helo_hostname
permit

## smtpd_data_restrictions
smtpd_data_restrictions =
reject_multi_recipient_bounce
permit

## smtpd_sender_restrictions
smtpd_sender_restrictions =
check_sender_access hash:/etc/postfix/Restriction/sender_access

## smtpd_recipient_restrictions
smtpd_recipient_restrictions =
reject_non_fqdn_recipient
reject_non_fqdn_sender
reject_unknown_sender_domain
reject_unknown_recipient_domain
permit_tls_clientcerts
permit_sasl_authenticated
permit_mynetworks
reject_unauth_destination
reject_unauth_pipelining
check_recipient_access hash:/etc/postfix/Restriction/recipient_access
reject_invalid_hostname
reject_non_fqdn_hostname
check_sender_mx_access cidr:/etc/postfix/Check/MX_Records
reject_rbl_client realays.ordb.org
reject_rhsbl_sender dsn.rfc-ignorant.org
permit

################# END SMTP Restriktionen #################

PS: Warum legst du für deine RBL's keine Map an ?

Roger Wilco
29.11.06, 15:11
By default, the Postfix SMTP server accepts:

* Mail from clients whose IP address matches $mynetworks, or:
* Mail to remote destinations that match $relay_domains, except for addresses that contain sender-specified routing (user@elsewhere@domain), or:
* Mail to local destinations that match $inet_interfaces or $proxy_interfaces, $mydestination, $virtual_alias_domains, or $virtual_mailbox_domains.
Vielleicht hilft die ja die reject_unlisted_recipient (http://www.postfix.org/postconf.5.html#reject_unlisted_recipient) Restriction...