Guten Morgen,

super, es lag an smtpd_delay_reject=yes. @Tobi: Vielen Dank!!

Was mich allerdings wundert: Nun kann ich auf einmal keine Mails mehr versenden. mail.log sagt:

Sep 3 06:49:37 server postfix/smtps/smtpd[29581]: >>> START Client host RESTRICTIONS <<< Sep 3 06:49:37 server postfix/smtps/smtpd[29581]: generic_checks: name=permit_sasl_authenticated Sep 3 06:49:37 server postfix/smtps/smtpd[29581]: generic_checks: name=permit_sasl_authenticated status=0 Sep 3 06:49:37 server postfix/smtps/smtpd[29581]: generic_checks: name=reject_unauth_destination Sep 3 06:49:37 server postfix/smtps/smtpd[29581]: generic_checks: name=reject_unauth_destination status=0 Sep 3 06:49:37 server postfix/smtps/smtpd[29581]: generic_checks: name=reject Sep 3 06:49:37 server postfix/smtps/smtpd[29581]: NOQUEUE: reject: CONNECT from server.andre-hohmann.net[127.0.0.1]: 554 5.7.1 <server.andre-hohmann.net[127.0.0.1]>: Client host rejected: Access denied; pr$ Sep 3 06:49:37 server postfix/smtps/smtpd[29581]: generic_checks: name=reject status=2

Nachdem ich in der master.cf unter -o smtpd_client_restrictions zusätzlich zu "permit_sasl_authenticated" "PERMIT_MYNETWORKS" gesetzt habe, kann ich nun wieder versenden.

Was ich nicht verstehe: Auf der Site http://www.postfix.org/postconf.5.html [2] finde ich folgenden Passus: SMTP command specific restrictions that are described under the smtpd_helo_restrictions [3], smtpd_sender_restrictions [4] or smtpd_recipient_restrictions [5] parameters. When helo, sender or recipient restrictions are listed under smtpd_client_restrictions [6], they have effect only with "smtpd_delay_reject [7] = yes", so that $smtpd_client_restrictions [6] is evaluated at the time of the RCPT TO command.

Heisst für mich auf Deutsch, dass die Einstellungen unter helo, sender oder recipient restrictions nur dann greifen, wenn "smtpd_delay_reject" auf "Yes" steht! Da ich also auf "no" gestellt habe, greifen diese Einstellungen also einfach nicht?

Gibt es eine andere Möglichkeit, IP's zu blacklisten, ohne "smtpd_delay_reject" auf "Yes" setzen zu müssen?

Vielen Dank.

Mit freundlichen Grüssen

Andre Hohmann

-------- Original Message --------

SUBJECT: Re: check-client-access-not-working ?

DATE: 02.09.2015 14:51

FROM: Tobi tobster@brain-force.ch

TO: postfix-users@de.postfix.org

Am 02.09.2015 um 13:51 schrieb Andre Hohmann:

Hallo zusammen,

ich habe immer noch keine Lösung für folgendes Problem:

http://stackoverflow.com/questions/32270166/postfix-check-client-access-not-... [1]

Könnt ihr bitte mal schauen, ob ihr eine Idee habt? Hab die Einstellungen nun schon mehrfach überprüft und auch neu gesetzt, und kann mit immer noch nicht erklären, wo der Fehler liegt.

Besten Dank!

--

Mit freundlichen Grüssen

Andre Hohmann

kann es sein, dass du smtpd_delay_reject nicht gesetzt und damit auf default YES hast? << Wait until the RCPT TO command before evaluating $smtpd_client_restrictions, $smtpd_helo_restrictions and $smtpd_sender_restrictions, or wait until the ETRN command before evaluating $smtpd_client_restrictions and $smtpd_helo_restrictions.

Links: ------ [1] http://stackoverflow.com/questions/32270166/postfix-check-client-access-not-... [2] http://www.postfix.org/postconf.5.html [3] http://www.postfix.org/postconf.5.html#smtpd_helo_restrictions [4] http://www.postfix.org/postconf.5.html#smtpd_sender_restrictions [5] http://www.postfix.org/postconf.5.html#smtpd_recipient_restrictions [6] http://www.postfix.org/postconf.5.html#smtpd_client_restrictions [7] http://www.postfix.org/postconf.5.html#smtpd_delay_reject

ich selber verwende dafür postscreen: http://www.postfix.org/POSTSCREEN_README.html [1] --> http://www.postfix.org/POSTSCREEN_README.html#perm_white_black [2]

oder trag die IPs in der Firewall ein. Auch eine nette Lösung ist ipset

• iptables. In ipset kannst du eine IP mit Ablaufzeit eintragen. Danach

fliegt sie ohne weiteres Zutun aus dem ipset raus

Postscreen ist sicherlich eine feine Sache, erfüllt aber meine Anforderungen denke ich nicht, da ich nicht "nur" IP´s, die Mails über Port 25 einliefern, blacklisten möchte, sondern auch login-Versuche über bestimmte IP´s verhindern möchte.

Iptables wäre sicherlich eine Möglichkeit.Ich suche allerdings eine Möglichkeit, postfix dazu zu bringen, anhand einer "IP-Liste"/blacklist die Verbindung direkt zu trennen. Hierfür ist ja die check_client_access grundsätzlich an sich gut nutzbar. Was mich stört bzw. was ich nicht nachvollziehen kann, ist der Passus...

SMTP command specific restrictions that are described under the smtpd_helo_restrictions [3], smtpd_sender_restrictions [4] or smtpd_recipient_restrictions [5] parameters. When helo, sender or recipient restrictions are listed under smtpd_client_restrictions [6], they have effect only with "smtpd_delay_reject [7] = yes", so that $smtpd_client_restrictions [6] is evaluated at the time of the RCPT TO command.

--- Mit freundlichen Grüssen

Andre Hohmann

-------- Original Message --------

SUBJECT: Re: Fwd: Re: check-client-access-not-working ?

DATE: 03.09.2015 08:45

FROM: Tobi tobster@brain-force.ch

TO: postfix-users@de.postfix.org

Am 03.09.2015 um 07:30 schrieb Andre Hohmann:

Gibt es eine andere Möglichkeit, IP's zu blacklisten, ohne "smtpd_delay_reject" auf "Yes" setzen zu müssen?

ich selber verwende dafür postscreen: http://www.postfix.org/POSTSCREEN_README.html [1] --> http://www.postfix.org/POSTSCREEN_README.html#perm_white_black [2]

oder trag die IPs in der Firewall ein. Auch eine nette Lösung ist ipset + iptables. In ipset kannst du eine IP mit Ablaufzeit eintragen. Danach fliegt sie ohne weiteres Zutun aus dem ipset raus

-------- Original Message --------

Subject: Re: check-client-access-not-working ? Date: 02.09.2015 14:51 From: Tobi tobster@brain-force.ch To: postfix-users@de.postfix.org

Am 02.09.2015 um 13:51 schrieb Andre Hohmann:

...

Hallo zusammen,

ich habe immer noch keine Lösung für folgendes Problem:

http://stackoverflow.com/questions/32270166/postfix-check-client-access-not-... [8]

Könnt ihr bitte mal schauen, ob ihr eine Idee habt? Hab die Einstellungen nun schon mehrfach überprüft und auch neu gesetzt, und kann mit immer noch nicht erklären, wo der Fehler liegt.

Besten Dank!

--

Mit freundlichen Grüssen

Andre Hohmann

kann es sein, dass du smtpd_delay_reject nicht gesetzt und damit auf default YES hast? << Wait until the RCPT TO command before evaluating $smtpd_client_restrictions, $smtpd_helo_restrictions and $smtpd_sender_restrictions, or wait until the ETRN command before evaluating $smtpd_client_restrictions and $smtpd_helo_restrictions.

Links: ------ [1] http://www.postfix.org/POSTSCREEN_README.html [2] http://www.postfix.org/POSTSCREEN_README.html#perm_white_black [3] http://www.postfix.org/postconf.5.html#smtpd_helo_restrictions [4] http://www.postfix.org/postconf.5.html#smtpd_sender_restrictions [5] http://www.postfix.org/postconf.5.html#smtpd_recipient_restrictions [6] http://www.postfix.org/postconf.5.html#smtpd_client_restrictions [7] http://www.postfix.org/postconf.5.html#smtpd_delay_reject [8] http://stackoverflow.com/questions/32270166/postfix-check-client-access-not-...