Am Samstag, 10. September 2016, 00:28:58 CEST schrieb Markus Gonzalez:
Beides bringt eine ganze Reihe von Problemen und Nachteilen mit sich. Und ehrlich gesagt sehe ich auch die Motivation dahinter nicht. Was ist so schlimm daran, wenn ein MUA seine Mails auf 25 einkippt?
MTA's müssen ohne SSL/TLS Mails einliefern können, dies passiert in aller Regel auf Port 25. Würde ich hier TLS/SSL bzw. STARTTLS - so wie ich es mir von den MUA's wünsche - erzwingen, wäre das vermutlich ebenso bindend für MTA's, oder ?? Deswegen sollten MUA's nur die Ports 465 od. 587 verwenden können, damit ich genau das erzwingen kann.
Nein, das ist getrennt einstellbar. Falls es anders wäre, würden ja all die Setups, wo MUAs auf Port 25 ihre Mails einkippen nicht funktionieren. Und ich denke, derer gibt es Viele.
Die Trennung erfolgt in der Regel über die Reihenfolge bei den Restrictions. So erlaube ich mit "permit_mynetworks" erstmal Mails aus dem eigenen Netzwerk, in meinem Fall nur Localhost, und dann mit "permit_sasl_authenticated" via SASL-authentifizierte Mails. Und dann kommen alle Regeln, um Spam außen vor zu halten. Wichtig ist dabei eben auch "reject_unauth_destination" – denn sonst hättest Du ein offenes Relay. Mit der Option verweigert Postfix alle Mails, für die er nicht zuständig ist (siehe man 5 postconf):
reject_unauth_destination Reject the request unless one of the following is true:
· Postfix is mail forwarder: the resolved RCPT TO domain matches $relay_domains or a subdomain thereof, and con‐ tains no sender-specified routing (user@else‐ where@domain),
· Postfix is the final destination: the resolved RCPT TO domain matches $mydestination, $inet_interfaces, $proxy_interfaces, $virtual_alias_domains, or $vir‐ tual_mailbox_domains, and contains no sender-specified routing (user@elsewhere@domain). The relay_domains_reject_code parameter specifies the response code for rejected requests (default: 554).
D.h. andere MTAs dürfen Mails bei mir ohne SASL abkippen, sofern die für mich sind und keine meiner Spam-Abwehrmaßnahmen auf SMTP-Ebene greift. So funktioniert das bei meinem Servers schon seit 10 Jahren oder so.
Ciao,