Mails von extern ablehnen, die von eigener Domain kommen
Hallo zusammen,
ich habe einen Mailserver mit Postfix und Dovecot. Die IMAP-Postfächer im Dovecot liegen in einer Textdatei.
Nun möchte ich den Postfix so konfigurieren, dass er Mails von außen ablehnt, die als Absender Adressen haben, die im Dovecot als Postfach existieren.
Der Postfix soll dabei idealerweise automatisch lokal gucken, ob ein Postfach mit diesem Absender im Dovecot existiert und dann eine entsprechende Mail ablehnen. (alles, was von außen mit dieser Absenderadresse kommt, soll als Spam angesehen und dementsprechend abgelehnt werden).
if mail nicht vom eigenen Mailserver bzw. nicht aus "mynetwork" und Absender gleich einer der Postfachadressen, dann ablehnen.
Kann mir dazu jemand erklären, wie ich das umsetzen kann? Vielen Dank vorab!
Gruß Robert
Hallo,
Am 13.01.23 um 11:26 schrieb Robert Oil:
Nun möchte ich den Postfix so konfigurieren, dass er Mails von außen ablehnt, die als Absender Adressen haben, die im Dovecot als Postfach existieren.
Der Postfix soll dabei idealerweise automatisch lokal gucken, ob ein Postfach mit diesem Absender im Dovecot existiert und dann eine entsprechende Mail ablehnen. (alles, was von außen mit dieser Absenderadresse kommt, soll als Spam angesehen und dementsprechend abgelehnt werden).
if mail nicht vom eigenen Mailserver bzw. nicht aus "mynetwork" und Absender gleich einer der Postfachadressen, dann ablehnen.
Kann mir dazu jemand erklären, wie ich das umsetzen kann? Vielen Dank vorab!
gibt bestimmt Möglichkeiten. Eine Anleitung kann ich leider nicht bieten, weil ich das Konzept nicht für besonders brauchbar halte.
Aber evtl. etwas Kontext.:
Warum nicht SPF auswerten, und die eigene Domain strikt (-all) konfigurieren? Das dürfte annähernd zum gleichen Verhalten führen.
Allerdings in beiden Fällen nicht vergessen, dass unter Umständen Mails, die entweder von Mailinglisten oder durch diverse Forwardings zurück ins System kommen, davon betroffen sein werden und ebenfalls abgewiesen werden.
Wolfgang
Im Auftrag von Robert Oil
Hallo zusammen,
ich habe einen Mailserver mit Postfix und Dovecot. Die IMAP-Postfächer im Dovecot liegen in einer Textdatei.
Nun möchte ich den Postfix so konfigurieren, dass er Mails von außen ablehnt, die als Absender Adressen haben, die im Dovecot als Postfach existieren.
Der Postfix soll dabei idealerweise automatisch lokal gucken, ob ein Postfach mit diesem Absender im Dovecot existiert und dann eine entsprechende Mail ablehnen. (alles, was von außen mit dieser Absenderadresse kommt, soll als Spam angesehen und dementsprechend abgelehnt werden).
if mail nicht vom eigenen Mailserver bzw. nicht aus "mynetwork" und Absender gleich einer der Postfachadressen, dann ablehnen.
check_sender_access proxy: :mysql:/etc/postfix/sql/mysql-domains.cf
/etc/postfix/sql/mysql-domains.cf:
hosts = IP.AD.DR.ESS user = mailuser password = supergeheim dbname = Mailuser query = SELECT 'reject do not use our domain, you are not allowed' FROM domain WHERE domain_name = '%s' and maildomain = "YES"
textdatei war left bei right hand ?
Domainname.xy reject do not use our domain, you are not allowed .....
Postmap datei.txt
check_sender_access hash:/etc/postfix/dateiname
Wenn eigene User über andere IP dann in den smtpd_recipient_restrictions = check_sender_access hash:/etc/postfix/dateiname
wenn alles über ine IP nur andere Ports dann nach ...... permit_sasl_authenticated check_sender_access hash:/etc/postfix/dateiname ......
Kann mir dazu jemand erklären, wie ich das umsetzen kann?
Vielen Dank vorab!
Gruß Robert
Mit freundlichen Grüßen
Uwe Drießen -- Software & Computer
Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner !
Uwe Drießen Lembergstraße 33 67824 Feilbingert
Tel.: 06708660045 Mobil 01726688122
"wenn Digitalisierung den Aufwand im Vergleich zur Analogen Arbeitsweise dermaßen erhöht, das wir nur noch am PC sitzen müssten, dann wird es Zeit sich zu überlegen zur Analogen Arbeitsweise zurückzukehren" "Programmierer müssen lernen wie Menschen denken. " "Digitalisierung heißt nicht das es WENIGER Arbeit wird. Es ist die Intelligente Art die erforderliche Arbeit auf andere zu übertragen." "Digitalisierung darf nicht zur Entmündigung und Benachteiligung der älteren brillentragenden Mitbürger führen." " Es gibt über 2000 Jahre alte Papierdokumente, 10000 Jahre alte Steindokumente, ich wette das älteste elektronische Dokument ist noch keine 100 Jahre."
On 13.01.2023 18:57, Uwe Drießen wrote:
Im Auftrag von Robert Oil
Hallo zusammen,
ich habe einen Mailserver mit Postfix und Dovecot. Die IMAP-Postfächer im Dovecot liegen in einer Textdatei.
Nun möchte ich den Postfix so konfigurieren, dass er Mails von außen ablehnt, die als Absender Adressen haben, die im Dovecot als Postfach existieren.
Der Postfix soll dabei idealerweise automatisch lokal gucken, ob ein Postfach mit diesem Absender im Dovecot existiert und dann eine entsprechende Mail ablehnen. (alles, was von außen mit dieser Absenderadresse kommt, soll als Spam angesehen und dementsprechend abgelehnt werden).
if mail nicht vom eigenen Mailserver bzw. nicht aus "mynetwork" und Absender gleich einer der Postfachadressen, dann ablehnen.
check_sender_access proxy: :mysql:/etc/postfix/sql/mysql-domains.cf
/etc/postfix/sql/mysql-domains.cf:
hosts = IP.AD.DR.ESS user = mailuser password = supergeheim dbname = Mailuser query = SELECT 'reject do not use our domain, you are not allowed' FROM domain WHERE domain_name = '%s' and maildomain = "YES"
textdatei war left bei right hand ?
Domainname.xy reject do not use our domain, you are not allowed .....
Postmap datei.txt
check_sender_access hash:/etc/postfix/dateiname
Wenn eigene User über andere IP dann in den smtpd_recipient_restrictions = check_sender_access hash:/etc/postfix/dateiname
wenn alles über ine IP nur andere Ports dann nach ...... permit_sasl_authenticated check_sender_access hash:/etc/postfix/dateiname ......
das funktioniert aber genau nur dann, wenn dieser Mailserver auch gleichzeitig der ausgehende Smarthost ist, andernfalls geht dies ausschließlich nur mit SPF
Grüße, Walter H.
Im Auftrag von Walter H.
Betreff: Re: AW: Mails von extern ablehnen, die von eigener Domain kommen
check_sender_access proxy: :mysql:/etc/postfix/sql/mysql-domains.cf
/etc/postfix/sql/mysql-domains.cf:
hosts = IP.AD.DR.ESS user = mailuser password = supergeheim dbname = Mailuser query = SELECT 'reject do not use our domain, you are not allowed' FROM
domain WHERE domain_name = '%s' and maildomain = "YES"
textdatei war left bei right hand ?
Domainname.xy reject do not use our domain, you are not allowed .....
Postmap datei.txt
check_sender_access hash:/etc/postfix/dateiname
Wenn eigene User über andere IP dann in den
smtpd_recipient_restrictions =
check_sender_access hash:/etc/postfix/dateiname
wenn alles über ine IP nur andere Ports dann nach ...... permit_sasl_authenticated check_sender_access hash:/etc/postfix/dateiname ......
das funktioniert aber genau nur dann, wenn dieser Mailserver auch gleichzeitig der ausgehende Smarthost ist, andernfalls geht dies ausschließlich nur mit SPF
Das erläutere mit mal den da steht beides und irgendwoher muss nun halt mal die Domainliste kommen Das funktioniert auf dem Eingehenden wie auf dem ausgehenden
Und ich habe 2 "Server" am laufen Ich hab beides getrennt nach ein und ausgang Und vorher alles auf einer IP /domain mail. Am laufen jetzt Mail und MX
Funktioniert immer Auf einer IP/Domain die restriktion nach permit Sasl Auf 2 IP/Domains auf dem Eingangsserver (Auf dem Ausgangsserver kommt es nix an weil der nicht als MX im DNS steht und auch die Ports nicht offen hat und nur mit auth annimmt)
Das hat nichts mit SPF zu tun es geht ja nicht um Fremde server die Berechtigung prüfen ob der der da sendet auch legitimiert ist (SPF USW..) Das geht nur um den EIGENEN SERVER der sagen soll " kann nicht sein das du mir eine Mail unter einer Mailadresse/ Domainnamen für den ich zuständig bin sendest". Zumindest hab ich die Fragestellung so verstanden :-)
Grüße, Walter H.
Mit freundlichen Grüßen
Uwe Drießen -- Software & Computer
Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner !
Uwe Drießen Lembergstraße 33 67824 Feilbingert
Tel.: 06708660045 Mobil 01726688122
"wenn Digitalisierung den Aufwand im Vergleich zur Analogen Arbeitsweise dermaßen erhöht, das wir nur noch am PC sitzen müssten, dann wird es Zeit sich zu überlegen zur Analogen Arbeitsweise zurückzukehren" "Programmierer müssen lernen wie Menschen denken. " "Digitalisierung heißt nicht das es WENIGER Arbeit wird. Es ist die Intelligente Art die erforderliche Arbeit auf andere zu übertragen." "Digitalisierung darf nicht zur Entmündigung und Benachteiligung der älteren brillentragenden Mitbürger führen." " Es gibt über 2000 Jahre alte Papierdokumente, 10000 Jahre alte Steindokumente, ich wette das älteste elektronische Dokument ist noch keine 100 Jahre."
Zu Klarstellung mal als TOFU
Fragestellung
Nun möchte ich den Postfix so konfigurieren, dass er Mails von außen ablehnt, die als Absender Adressen haben, die im Dovecot als Postfach existieren.
check_sender_access type:table Search the specified access(5) database for the MAIL FROM address, domain, parent domains, or localpart@, and execute the corresponding action.
KISS einfach simple und funktioniert
Ob über SQL abfrage oder textdatei Ich schaue nicht nach der ganzen Mailadresse sondern nach den Domainanteil das reicht mir kann aber auch komplette Adresse abgefragt werden.
Mit freundlichen Grüßen
Uwe Drießen -- Software & Computer
Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner !
Uwe Drießen Lembergstraße 33 67824 Feilbingert
Tel.: 06708660045 Mobil 01726688122
"wenn Digitalisierung den Aufwand im Vergleich zur Analogen Arbeitsweise dermaßen erhöht, das wir nur noch am PC sitzen müssten, dann wird es Zeit sich zu überlegen zur Analogen Arbeitsweise zurückzukehren" "Programmierer müssen lernen wie Menschen denken. " "Digitalisierung heißt nicht das es WENIGER Arbeit wird. Es ist die Intelligente Art die erforderliche Arbeit auf andere zu übertragen." "Digitalisierung darf nicht zur Entmündigung und Benachteiligung der älteren brillentragenden Mitbürger führen." " Es gibt über 2000 Jahre alte Papierdokumente, 10000 Jahre alte Steindokumente, ich wette das älteste elektronische Dokument ist noch keine 100 Jahre."
-----Ursprüngliche Nachricht----- Von: Uwe Drießen [mailto:driessen@fblan.de] Gesendet: Samstag, 14. Januar 2023 20:48 An: 'Walter H.'; 'postfix-users@de.postfix.org' Betreff: AW: AW: Mails von extern ablehnen, die von eigener Domain kommen
Im Auftrag von Walter H.
Betreff: Re: AW: Mails von extern ablehnen, die von eigener Domain kommen
check_sender_access proxy: :mysql:/etc/postfix/sql/mysql-domains.cf
/etc/postfix/sql/mysql-domains.cf:
hosts = IP.AD.DR.ESS user = mailuser password = supergeheim dbname = Mailuser query = SELECT 'reject do not use our domain, you are not allowed'
FROM
domain WHERE domain_name = '%s' and maildomain = "YES"
textdatei war left bei right hand ?
Domainname.xy reject do not use our domain, you are not allowed .....
Postmap datei.txt
check_sender_access hash:/etc/postfix/dateiname
Wenn eigene User über andere IP dann in den
smtpd_recipient_restrictions =
check_sender_access hash:/etc/postfix/dateiname
wenn alles über ine IP nur andere Ports dann nach ...... permit_sasl_authenticated check_sender_access hash:/etc/postfix/dateiname ......
das funktioniert aber genau nur dann, wenn dieser Mailserver auch gleichzeitig der ausgehende Smarthost ist, andernfalls geht dies ausschließlich nur mit SPF
Das erläutere mit mal den da steht beides und irgendwoher muss nun halt mal die Domainliste kommen Das funktioniert auf dem Eingehenden wie auf dem ausgehenden
Und ich habe 2 "Server" am laufen Ich hab beides getrennt nach ein und ausgang Und vorher alles auf einer IP /domain mail. Am laufen jetzt Mail und MX
Funktioniert immer Auf einer IP/Domain die restriktion nach permit Sasl Auf 2 IP/Domains auf dem Eingangsserver (Auf dem Ausgangsserver kommt es nix an weil der nicht als MX im DNS steht und auch die Ports nicht offen hat und nur mit auth annimmt)
Das hat nichts mit SPF zu tun es geht ja nicht um Fremde server die Berechtigung prüfen ob der der da sendet auch legitimiert ist (SPF USW..) Das geht nur um den EIGENEN SERVER der sagen soll " kann nicht sein das du mir eine Mail unter einer Mailadresse/ Domainnamen für den ich zuständig bin sendest". Zumindest hab ich die Fragestellung so verstanden :-)
Grüße, Walter H.
Mit freundlichen Grüßen
Uwe Drießen
Software & Computer
Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner !
Uwe Drießen Lembergstraße 33 67824 Feilbingert
Tel.: 06708660045 Mobil 01726688122
"wenn Digitalisierung den Aufwand im Vergleich zur Analogen Arbeitsweise dermaßen erhöht, das wir nur noch am PC sitzen müssten, dann wird es Zeit sich zu überlegen zur Analogen Arbeitsweise zurückzukehren" "Programmierer müssen lernen wie Menschen denken. " "Digitalisierung heißt nicht das es WENIGER Arbeit wird. Es ist die Intelligente Art die erforderliche Arbeit auf andere zu übertragen." "Digitalisierung darf nicht zur Entmündigung und Benachteiligung der älteren brillentragenden Mitbürger führen." " Es gibt über 2000 Jahre alte Papierdokumente, 10000 Jahre alte Steindokumente, ich wette das älteste elektronische Dokument ist noch keine 100 Jahre."
On 13.01.2023 11:26, Robert Oil wrote:
Der Postfix soll dabei idealerweise automatisch lokal gucken, ob ein Postfach mit diesem Absender im Dovecot existiert und dann eine entsprechende Mail ablehnen. (alles, was von außen mit dieser Absenderadresse kommt, soll als Spam angesehen und dementsprechend abgelehnt werden).
eigentlich sollte jede Mail, welche von außen kommt mit einer Absenderadresse dieser Domain, egal ob diese als Postfach existiert od. nicht als SPAM abgelehnt werden;
if mail nicht vom eigenen Mailserver bzw. nicht aus "mynetwork" und Absender gleich einer der Postfachadressen, dann ablehnen.
handelt es sich hier um den Authoritativen Mailserver der Domain, welcher auch als SMTP-Ausgangsserver fungiert?
wenn ja, einfach den Empfang via Port 25 komplett sperren, und ausschließlich die Einlieferung via Port 465 od. 587 erlauben;
wenn nein, wirds schwierig ... bzw. wie ein anderer bereits erwähnte SPF;
Im Auftrag von Walter H.
eigentlich sollte jede Mail, welche von außen kommt mit einer Absenderadresse dieser Domain, egal ob diese als Postfach existiert od. nicht als SPAM abgelehnt werden;
if mail nicht vom eigenen Mailserver bzw. nicht aus "mynetwork" und Absender gleich einer der Postfachadressen, dann ablehnen.
Genauso, siehe meine Mail vorher
handelt es sich hier um den Authoritativen Mailserver der Domain, welcher auch als SMTP-Ausgangsserver fungiert?
wenn ja, einfach den Empfang via Port 25 komplett sperren, und ausschließlich die Einlieferung via Port 465 od. 587 erlauben;
wenn nein, wirds schwierig ... bzw. wie ein anderer bereits erwähnte SPF;
KISS Prinzip (SPF ist nicht KISS aber grundsätzlich richtig eingesetzt für andere Dinge gut)
ganz einfach siehe Mail von mir davor (wenn fragen dazu einfach nachfragen )
Mit freundlichen Grüßen
Uwe Drießen -- Software & Computer
Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner !
Uwe Drießen Lembergstraße 33 67824 Feilbingert
Tel.: 06708660045 Mobil 01726688122
"wenn Digitalisierung den Aufwand im Vergleich zur Analogen Arbeitsweise dermaßen erhöht, das wir nur noch am PC sitzen müssten, dann wird es Zeit sich zu überlegen zur Analogen Arbeitsweise zurückzukehren" "Programmierer müssen lernen wie Menschen denken. " "Digitalisierung heißt nicht das es WENIGER Arbeit wird. Es ist die Intelligente Art die erforderliche Arbeit auf andere zu übertragen." "Digitalisierung darf nicht zur Entmündigung und Benachteiligung der älteren brillentragenden Mitbürger führen." " Es gibt über 2000 Jahre alte Papierdokumente, 10000 Jahre alte Steindokumente, ich wette das älteste elektronische Dokument ist noch keine 100 Jahre."
participants (4)
-
Robert Oil -
Uwe Drießen -
Walter H. -
Wolfgang Rosenauer