Ich habe ein VPN aufgebaut mit freeswan.
Damit die road-warrior nicht nur mail abholen, sondern auch versenden können, habe ich smtp-auth über postfix eingerichtet.
Dabei musste ich einige Dinge eintragen, die mir heikel erscheinen:
Etwa smtpd_recipient_restrictions = permit_mynetworks
Nun steht in "mynetworks" nicht nur meine lokale IP drin (172.18.0.0/16), sondern auch die echte Domäne des E-Mail providers, denn postfix tauscht den lokalen Domainnamen gegen diesen aus und liefert nichts mehr nach draussen, wenn ich das weglasse.

Wie kann ich sichergehen, dass ich damit kein open-relay bin?
Es könnte ja jemand vortäuschen er sei Joe-user@my-mail-provider.de.

Also, von ausserhalb sollte keiner ohne sich zu authentifizieren, über meinen smtpd mail verschicken können, selbst wenn ich einmal die Firewall versehentlich abschalte.

Danke,
mamue

abuse relay test macht alle möglichen checks.

Abuse (http://www.abuse.net/relay.html)

Das geht natürlich nur für hosts mit statischer IP.
Die habe ich leider nicht.

Danke,
mamue

Warum nur mit statischer ip Adresse???
Du gibst den fqdn an, und dann wird der genutzt - funzte zumindest bei mir.

Gruß

Wie soll denn das gehen?
Der kann doch gar keinen Host auflösen können, wenn dieser keinen Nameserver Eintrag hat. Ich glaube kaum, das Dein Provider Deinen Rechner bei jedem Anwählen im Nameserver einträgt, oder?
DynDNS wäre da wahrscheinlich möglich, aber lassen wir das.
Ausserdem liegt mein SMTP mit seiner privaten IP natürlich hinter einer Firewall, also ist der aus dem so ohne weiteres nicht erreichbar.
Ich müsste die Leute dazu überreden meine Firewall als Gateway in das private Netz einzutragen. Ob die das wohl machen?
EIn Spammer mag dazu eher bereit sein.


mamue

@mame
1. Sehr viele (meisten) Provider geben dir einen fqdn
2. kannst du unter der angegebenen Adresse auch eine IP-Adresse angeben.
3. Wenn dein SMTP-Server von aussen nicht zu erreichen ist, wo ist das Problem?

Der Mailserver steht hinter einer Firewall. Das Interface/der Rechner mit dem DSL bekommt den Rechnernamen vom ISP. Der Mailserver bekommt wohl eher keinen.
Da das eine private IP ist, wird sie im Internet nicht so ohne weiteres geroutet.
Wenn ein Rechner nur über eine private Adresse zu erreichen ist, kann ich also sicher davon ausgehen, dass er nicht angreifbar ist?
Ich bin da sicher kein Experte, aber ich glaube nicht, dass das so stimmt.

Der open-relay test muss von einem Rechner aus gemacht werden, der auf der anderen Seite der Firewall steht, oder von der Firewall selbst aus. Das wird mir aus dieser Diskussion schon mal klar. Am einfachsten wäre es wahrscheinlich, den smtp-port per telnet anzusprechen und dann ihn zu überzeugen versuchen, die Mail abzusetzen. Oder so ähnlich.


Danke für alle Anregungen,
mamue

Wenn ein Rechner nur über eine private Adresse zu erreichen ist, kann ich also sicher davon ausgehen, dass er nicht angreifbar ist? Ja. er ist damit _von aussen_ nicht angreifbar.
Randbedingung: Du machst keinen Blödsinn mit deinen Paketfilter-Regeln.

Mal eine ganz blöde Frage:
wie soll Dein Rechner denn als open relay mißbraucht werden können, wenn er von außen gar nicht erreichbar ist???? Wenn dann hast Du einen enemy-within, und den wirst Du auch nicht so einfach verhindern können.

Mein vorheriges posting ging davon aus, daß Dein Rechner direkt via Internet erreichbar ist, entweder nur über die ip Adresse, oder aber auch via eines fqdn (bspw. via dyndns).

Gruß

Ja. er ist damit _von aussen_ nicht angreifbar.
Randbedingung: Du machst keinen Blödsinn mit deinen Paketfilter-Regeln.

Nun ja, die richtigen Paketfilterregeln haben wohl scheinbar viele noch nicht gefunden, sonst gäbe es ja wohl sehr viel weniger hacks.
Ausserdem fühle ich mich unter diesen Randbedingungen etwas unwohl.

Seis drum, ich lass es einstweile so, suche aber noch ein wenig weiter nach Möglichkeiten.

mamue

@Stormbringer:
Wenn der Rechner von aussen nicht erreichbar wäre, wie erreichten ihn dann wohl die Mails?
Obwohl es heisst, private IP würden nicht im Internet geroutet, kann doch sehr wohl ein jeder eine route auf Dein privates Netz mit Deiner Provider-IP als Gateway eintragen. Wie schon Jinto feststellte, ist die Erreichbarkeit eher eine Frage der Firewall.

Ja eben!
Und bei einem relay Test geht es ja nur darum, ob der Mailserver etwas als gültig erkennt, oder als ungültig ablehnt.
Ergo muß der Mailserver in irgendeiner Art & Weise von außen zugänglich sein, und sei es nur, indem eine vorgeschaltete FW Transfer via Port 25 and eine fest hinterlegte ip Adresse weitergibt.
Dementsprechend kann man dann den Mailserver eigentlich testen, indem die öffentliche ip Adresse angegeben wird. Die FW nimmt Datenpakete für Port 25 entgegen, und gibt diese an den Mailserver weiter. Schaltest Du dann die Mailzustellung aus, müßten zur Weitergabe validierte Emails in der queue liegen bleiben .... oder sehe ich das falsch?

Gruß