[postfix-users] postgrey backup MX
Hallo,
meine Frage ist wie kann ich Postgrey auf zwei Mail-Exchanger konfigurieren natürlich sollten beide auf die gleiche Postgrey Datenbank zugreifen.
MfG Philipp Nöbauer
Hi,
ganz einfach: Du nimmst anstatt postgrey sqlgrey. Mit sqlgrey geht das ganze über eine Datenbank z.B. MySQL.
Der Backup MX greift dann auch auf die MySQL DB zu (genauso wie der Primary) und dadurch haben beide MX Records exakt dieselben Daten.
Bei Debian kannst du sqlgrey direkt per aptitude install sqlgrey installieren.
MfG
Morten Stevens
-----Ursprüngliche Nachricht----- Von: postfix-users-bounces+mstevens=imt-systems.com@de.postfix.org [mailto:postfix-users-bounces+mstevens=imt-systems.com@de.postfix.org] Im Auftrag von Philipp Nöbauer Gesendet: Sonntag, 4. April 2010 17:13 An: postfix-users@de.postfix.org Betreff: [postfix-users] postgrey backup MX
Hallo,
meine Frage ist wie kann ich Postgrey auf zwei Mail-Exchanger konfigurieren natürlich sollten beide auf die gleiche Postgrey Datenbank zugreifen.
MfG Philipp Nöbauer
_______________________________________________ postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Hi Leute,
ich denke mal, ich seh den Fehler einfach nur nicht: ich habe normal Postfix-courier-mysql-Mailserver, über den ich per IMAP Mails abrufen kann. Mein Problem ist nur, dass ich haben will, das nur meine authorisierten Domains mailen dürfen - habe also eine Auth-Überprüfung, dass der User nur mit Passwort mailen darf und ihm das Konto auch gehören muss, mit dem er mailen möchte.
Hier erstmal die Konfig (ich hoffe mal der Auszug reicht):
myhostname = mail.domain.de alias_maps = hash:/etc/aliases alias_database = hash:/etc/aliases myorigin = /etc/mailname mydestination = relayhost = mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 mailbox_size_limit = 0 recipient_delimiter = + inet_interfaces = all
smtpd_sasl_auth_enable = yes smtpd_sasl_security_options = noanonymous smtpd_sasl_local_domain = broken_sasl_auth_clients = yes smtpd_sasl_authenticated_header = yes smtpd_recipient_restrictions = reject_unauth_pipelining, permit_mynetworks, permit_sasl_authenticated, reject_non_fqdn_recipient, reject_unauth_destination smtpd_sender_restrictions = permit_mynetworks, reject_sender_login_mismatch, permit_sasl_authenticated, reject smtpd_sender_login_maps = mysql:/etc/postfix/mysql_sender_login_maps.cf
Ich weiß, dass das Problem darin liegt, am Ende der Sender und recipient restrictions das "reject" zu haben, aber ich möchte nun mal nur meine User mailen lassen. Das funktioniert auch, ABER kann ich keine Mails von "fremden" Domains empfangen, die werden dann eben rejected ... nehm ich das reject raus, kann aber jeder sich per telnet anmelden und los-spammen, weil ja keine Regel mehr existiert, die ihn ablehnt ...
Irgendwo hab ich n Dreher drin mit recipient und sender, aber ich weiß nicht wo :(
Vielen Dank schonmal im voraus :)
Steve
On Behalf Of Steve Guhr
Hi Leute,
ich denke mal, ich seh den Fehler einfach nur nicht: ich habe normal Postfix-courier- mysql-Mailserver, über den ich per IMAP Mails abrufen kann.
Was ist schon normal*gg
Mein Problem ist nur, dass ich haben will, das nur meine authorisierten Domains mailen dürfen - habe also eine Auth-Überprüfung, dass der User nur mit Passwort mailen darf und ihm das Konto auch gehören muss, mit dem er mailen möchte.
Hier erstmal die Konfig (ich hoffe mal der Auszug reicht):
Reicht nicht. Postconf -n wäre angebracht
myhostname = mail.domain.de alias_maps = hash:/etc/aliases alias_database = hash:/etc/aliases myorigin = /etc/mailname mydestination = relayhost = mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 mailbox_size_limit = 0 recipient_delimiter = + inet_interfaces = all
smtpd_sasl_auth_enable = yes smtpd_sasl_security_options = noanonymous smtpd_sasl_local_domain = broken_sasl_auth_clients = yes smtpd_sasl_authenticated_header = yes smtpd_recipient_restrictions = reject_unauth_pipelining, permit_mynetworks, permit_sasl_authenticated, reject_non_fqdn_recipient, reject_unauth_destination smtpd_sender_restrictions = permit_mynetworks, reject_sender_login_mismatch, permit_sasl_authenticated, reject smtpd_sender_login_maps = mysql:/etc/postfix/mysql_sender_login_maps.cf
Alle Restriktionen unter smtpd_recipient_restrictions packen. Einmalige Prüfung dann wenn alle Infos vorliegen Spart Zeit, macht die Config übersichtlich
BEISPIEL für submission :
smtpd_recipient_restrictions = reject_non_fqdn_sender, reject_non_fqdn_recipient, reject_unknown_sender_domain, reject_unknown_recipient_domain, reject_sender_login_mismatch, reject_unlisted_sender, permit_sasl_authenticated, reject
wer sich nicht angemeldet hat wird mit dem letzten reject abgelehnt
zusätzlich würde ich nur den submission (587) für die eigenen User erlauben
zu dem Szenario gehört auch noch
z.B. smtpd_sender_login_maps = hash:/etc/postfix//aliases, hash:/etc/postfix/domains
virtual_mailbox_domains virtual_mailbox_maps virtual_alias_maps
denn irgendwoher muß Postfix ja sein Infos ziehen wer zu ihm gehört und wer nicht
deswegen auch immer ein postconf -n schicken
was was macht kannst du auf
http://www.postfix.org/postconf.5.html
nachlesen
Ich weiß, dass das Problem darin liegt, am Ende der Sender und recipient restrictions das "reject" zu haben, aber ich möchte nun mal nur meine User mailen lassen. Das funktioniert auch, ABER kann ich keine Mails von "fremden" Domains empfangen, die werden dann eben rejected ... nehm ich das reject raus, kann aber jeder sich per telnet anmelden und los-spammen, weil ja keine Regel mehr existiert, die ihn ablehnt ...
Aber wie bekommen deine User Mails von außerhalb oneway Mails ist irgendwie nicht so prickelnd.
Irgendwo hab ich n Dreher drin mit recipient und sender, aber ich weiß nicht wo :(
Vielen Dank schonmal im voraus :)
Mit freundlichen Grüßen
Drießen
Hier die postconf -n:
alias_database = hash:/etc/aliases alias_maps = hash:/etc/aliases append_dot_mydomain = no biff = no broken_sasl_auth_clients = yes config_directory = /etc/postfix inet_interfaces = all inet_protocols = all mailbox_size_limit = 0 mydestination = myhostname = mail.domain.de mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 myorigin = /etc/mailname readme_directory = no recipient_delimiter = + relayhost = smtp_tls_note_starttls_offer = yes smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu) smtpd_recipient_restrictions = reject_unauth_pipelining, permit_mynetworks, permit_sasl_authenticated, reject_non_fqdn_recipient, reject_unauth_destination smtpd_sasl_auth_enable = yes smtpd_sasl_authenticated_header = yes smtpd_sasl_local_domain = smtpd_sasl_security_options = noanonymous smtpd_sender_login_maps = mysql:/etc/postfix/mysql_sender_login_maps.cf smtpd_sender_restrictions = permit_mynetworks, reject_sender_login_mismatch, permit_sasl_authenticated, reject smtpd_tls_CAfile = /etc/postfix/ssl/demoCA/cacert.pem smtpd_tls_cert_file = /etc/postfix/ssl/server-crt.pem smtpd_tls_key_file = /etc/postfix/ssl/server-key.pem smtpd_tls_loglevel = 1 smtpd_tls_received_header = yes smtpd_tls_session_cache_timeout = 3600s smtpd_use_tls = yes tls_random_prng_update_period = 3600s tls_random_source = dev:/dev/urandom virtual_alias_maps = mysql:/etc/postfix/mysql_virtual_alias_maps.cf virtual_gid_maps = static:5000 virtual_mailbox_base = /home/vmail virtual_mailbox_domains = mysql:/etc/postfix/mysql_virtual_domains_maps.cf virtual_mailbox_limit = 51200000 virtual_mailbox_maps = mysql:/etc/postfix/mysql_virtual_mailbox_maps.cf virtual_minimum_uid = 5000 virtual_transport = virtual virtual_uid_maps = static:5000
Das mit dem Oneway ist eben die Sache: der Server ist im Aufbau, insofern gibt es noch keine Nutzer großartig, wir können innerhalb der Domain gegenseitig mailen (uneingeschränkt), aber sobald eben etwas fremdes antworten möchte, knallts. Rein von der Theorie sollte ich ja auch nur die Sender restrictions anpassen, weil darum geht es mir ja, empfangen will ich erstmal alles ... aber der macht das nicht so, wie er soll und wendet iwie auch sender restrictions für ankommende mails an ...
On 04.05.2010, at 09:32, Uwe Driessen wrote:
On Behalf Of Steve Guhr
Hi Leute,
ich denke mal, ich seh den Fehler einfach nur nicht: ich habe normal Postfix-courier- mysql-Mailserver, über den ich per IMAP Mails abrufen kann.
Was ist schon normal*gg
Mein Problem ist nur, dass ich haben will, das nur meine authorisierten Domains mailen dürfen - habe also eine Auth-Überprüfung, dass der User nur mit Passwort mailen darf und ihm das Konto auch gehören muss, mit dem er mailen möchte.
Hier erstmal die Konfig (ich hoffe mal der Auszug reicht):
Reicht nicht. Postconf -n wäre angebracht
myhostname = mail.domain.de alias_maps = hash:/etc/aliases alias_database = hash:/etc/aliases myorigin = /etc/mailname mydestination = relayhost = mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 mailbox_size_limit = 0 recipient_delimiter = + inet_interfaces = all
smtpd_sasl_auth_enable = yes smtpd_sasl_security_options = noanonymous smtpd_sasl_local_domain = broken_sasl_auth_clients = yes smtpd_sasl_authenticated_header = yes smtpd_recipient_restrictions = reject_unauth_pipelining, permit_mynetworks, permit_sasl_authenticated, reject_non_fqdn_recipient, reject_unauth_destination smtpd_sender_restrictions = permit_mynetworks, reject_sender_login_mismatch, permit_sasl_authenticated, reject smtpd_sender_login_maps = mysql:/etc/postfix/mysql_sender_login_maps.cf
Alle Restriktionen unter smtpd_recipient_restrictions packen. Einmalige Prüfung dann wenn alle Infos vorliegen Spart Zeit, macht die Config übersichtlich
BEISPIEL für submission :
smtpd_recipient_restrictions = reject_non_fqdn_sender, reject_non_fqdn_recipient, reject_unknown_sender_domain, reject_unknown_recipient_domain, reject_sender_login_mismatch, reject_unlisted_sender, permit_sasl_authenticated, reject
wer sich nicht angemeldet hat wird mit dem letzten reject abgelehnt
zusätzlich würde ich nur den submission (587) für die eigenen User erlauben
zu dem Szenario gehört auch noch
z.B. smtpd_sender_login_maps = hash:/etc/postfix//aliases, hash:/etc/postfix/domains
virtual_mailbox_domains virtual_mailbox_maps virtual_alias_maps
denn irgendwoher muß Postfix ja sein Infos ziehen wer zu ihm gehört und wer nicht
deswegen auch immer ein postconf -n schicken
was was macht kannst du auf
http://www.postfix.org/postconf.5.html
nachlesen
Ich weiß, dass das Problem darin liegt, am Ende der Sender und recipient restrictions das "reject" zu haben, aber ich möchte nun mal nur meine User mailen lassen. Das funktioniert auch, ABER kann ich keine Mails von "fremden" Domains empfangen, die werden dann eben rejected ... nehm ich das reject raus, kann aber jeder sich per telnet anmelden und los-spammen, weil ja keine Regel mehr existiert, die ihn ablehnt ...
Aber wie bekommen deine User Mails von außerhalb oneway Mails ist irgendwie nicht so prickelnd.
Irgendwo hab ich n Dreher drin mit recipient und sender, aber ich weiß nicht wo :(
Vielen Dank schonmal im voraus :)
Mit freundlichen Grüßen
Drießen
-- Software & Computer Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: +49 06708 / 660045 Fax: +49 06708 / 661397
postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
On Behalf Of Steve Guhr
Hier die postconf -n:
alias_database = hash:/etc/aliases alias_maps = hash:/etc/aliases append_dot_mydomain = no biff = no broken_sasl_auth_clients = yes config_directory = /etc/postfix inet_interfaces = all inet_protocols = all mailbox_size_limit = 0 mydestination = myhostname = mail.domain.de mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 myorigin = /etc/mailname readme_directory = no recipient_delimiter = + relayhost = smtp_tls_note_starttls_offer = yes smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu) smtpd_recipient_restrictions = reject_unauth_pipelining, permit_mynetworks, permit_sasl_authenticated, reject_non_fqdn_recipient, reject_unauth_destination smtpd_sasl_auth_enable = yes smtpd_sasl_authenticated_header = yes smtpd_sasl_local_domain = smtpd_sasl_security_options = noanonymous smtpd_sender_login_maps = mysql:/etc/postfix/mysql_sender_login_maps.cf smtpd_sender_restrictions = permit_mynetworks, reject_sender_login_mismatch, permit_sasl_authenticated, reject
Das sollst du rauswerfen und in smtpd_recipient_restrictions mit rein nehmen
smtpd_tls_CAfile = /etc/postfix/ssl/demoCA/cacert.pem smtpd_tls_cert_file = /etc/postfix/ssl/server-crt.pem smtpd_tls_key_file = /etc/postfix/ssl/server-key.pem smtpd_tls_loglevel = 1 smtpd_tls_received_header = yes smtpd_tls_session_cache_timeout = 3600s smtpd_use_tls = yes tls_random_prng_update_period = 3600s tls_random_source = dev:/dev/urandom virtual_alias_maps = mysql:/etc/postfix/mysql_virtual_alias_maps.cf virtual_gid_maps = static:5000 virtual_mailbox_base = /home/vmail virtual_mailbox_domains = mysql:/etc/postfix/mysql_virtual_domains_maps.cf virtual_mailbox_limit = 51200000 virtual_mailbox_maps = mysql:/etc/postfix/mysql_virtual_mailbox_maps.cf virtual_minimum_uid = 5000 virtual_transport = virtual virtual_uid_maps = static:5000
Das mit dem Oneway ist eben die Sache: der Server ist im Aufbau, insofern gibt es noch keine Nutzer großartig, wir können innerhalb der Domain gegenseitig mailen (uneingeschränkt), aber sobald eben etwas fremdes antworten möchte, knallts. Rein von der Theorie sollte ich ja auch nur die Sender restrictions anpassen, weil darum geht es mir ja, empfangen will ich erstmal alles ... aber der macht das nicht so, wie er soll und wendet iwie auch sender restrictions für ankommende mails an ...
Er macht das aber genauso wie du es Ihm gesagt hast. Ist er fremd dann gelten die regeln nach dem permit_sasl zusätzlich Mit dem reject nach dem permit kann nur senden wer sich angemeldet hat.
Leider drückst du dich etwas unklar aus was der Server wirklich tun soll. Soll er nur interne Mails von bekannten Usern zustellen und das auch nicht von extern drauf geantwortet werden kann dann stimmt deine Config. Solltest dann aber auch evtl. drauf achten das keine Mails an fremde geschickt werden können.
Willst du von von "fremden" Server Mails annehmen dann ist dein Setup entsprechend zu erweitern.
Auf Postfix.org gibt es verwendbare Anleitungen wie vorzugehen ist.
Das feintuning kommt dann danach.
Mit freundlichen Grüßen
Drießen
On 04.05.2010, at 10:24, Uwe Driessen wrote:
On Behalf Of Steve Guhr
Hier die postconf -n:
alias_database = hash:/etc/aliases alias_maps = hash:/etc/aliases append_dot_mydomain = no biff = no broken_sasl_auth_clients = yes config_directory = /etc/postfix inet_interfaces = all inet_protocols = all mailbox_size_limit = 0 mydestination = myhostname = mail.domain.de mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 myorigin = /etc/mailname readme_directory = no recipient_delimiter = + relayhost = smtp_tls_note_starttls_offer = yes smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu) smtpd_recipient_restrictions = reject_unauth_pipelining, permit_mynetworks, permit_sasl_authenticated, reject_non_fqdn_recipient, reject_unauth_destination smtpd_sasl_auth_enable = yes smtpd_sasl_authenticated_header = yes smtpd_sasl_local_domain = smtpd_sasl_security_options = noanonymous smtpd_sender_login_maps = mysql:/etc/postfix/mysql_sender_login_maps.cf smtpd_sender_restrictions = permit_mynetworks, reject_sender_login_mismatch, permit_sasl_authenticated, reject
Das sollst du rauswerfen und in smtpd_recipient_restrictions mit rein nehmen
Also gar keine sender_restrictions ?!
smtpd_tls_CAfile = /etc/postfix/ssl/demoCA/cacert.pem smtpd_tls_cert_file = /etc/postfix/ssl/server-crt.pem smtpd_tls_key_file = /etc/postfix/ssl/server-key.pem smtpd_tls_loglevel = 1 smtpd_tls_received_header = yes smtpd_tls_session_cache_timeout = 3600s smtpd_use_tls = yes tls_random_prng_update_period = 3600s tls_random_source = dev:/dev/urandom virtual_alias_maps = mysql:/etc/postfix/mysql_virtual_alias_maps.cf virtual_gid_maps = static:5000 virtual_mailbox_base = /home/vmail virtual_mailbox_domains = mysql:/etc/postfix/mysql_virtual_domains_maps.cf virtual_mailbox_limit = 51200000 virtual_mailbox_maps = mysql:/etc/postfix/mysql_virtual_mailbox_maps.cf virtual_minimum_uid = 5000 virtual_transport = virtual virtual_uid_maps = static:5000
Das mit dem Oneway ist eben die Sache: der Server ist im Aufbau, insofern gibt es noch keine Nutzer großartig, wir können innerhalb der Domain gegenseitig mailen (uneingeschränkt), aber sobald eben etwas fremdes antworten möchte, knallts. Rein von der Theorie sollte ich ja auch nur die Sender restrictions anpassen, weil darum geht es mir ja, empfangen will ich erstmal alles ... aber der macht das nicht so, wie er soll und wendet iwie auch sender restrictions für ankommende mails an ...
Er macht das aber genauso wie du es Ihm gesagt hast. Ist er fremd dann gelten die regeln nach dem permit_sasl zusätzlich Mit dem reject nach dem permit kann nur senden wer sich angemeldet hat.
Leider drückst du dich etwas unklar aus was der Server wirklich tun soll. Soll er nur interne Mails von bekannten Usern zustellen und das auch nicht von extern drauf geantwortet werden kann dann stimmt deine Config. Solltest dann aber auch evtl. drauf achten das keine Mails an fremde geschickt werden können.
Er soll einfach alle Mails annehmen können und nur authorisierte User senden lassen ... :)
Willst du von von "fremden" Server Mails annehmen dann ist dein Setup entsprechend zu erweitern.
Auf Postfix.org gibt es verwendbare Anleitungen wie vorzugehen ist.
Das feintuning kommt dann danach.
Mit freundlichen Grüßen
Drießen
-- Software & Computer Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: +49 06708 / 660045 Fax: +49 06708 / 661397
postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Hi.
Die Abarbeitung der restrictions erfolgt hintereinander, d.h. bevor die restrictions in smtpd_recipient_restrictions abgearbeitet werden, kommen die smtpd_sender_restrictions dran. In deinem Setup dürfen in den sender-restrictions aber ausschließlich per SASL authentifizierte Benutzer senden und somit keiner der sich nicht anmeldet. Das möchtest du aber nicht, denke ich mal. Deshalb sollte meiner Meinung nach, ein permit am Ende der sender-restrictions stehen. Erst bei den recipient-restrictions testet der Server, ob die Empfängeradresse zu dem Server gehört (reject_unauth_destination -> permit am Ende bzw. permit_auth_destination -> reject am Ende der restriction).
Bitte um Berichtigung, falls ich was falsches verzapft haben sollte.
mfg Patrick
-----Ursprüngliche Nachricht----- Von: postfix-users-bounces+patrick.schroth=transmit.de@de.postfix.org [mailto:postfix-users-bounces+patrick.schroth=transmit.de@de.postfix.org] Im Auftrag von Steve Guhr Gesendet: Dienstag, 4. Mai 2010 10:38 An: Mailing-Liste der deutschsprachigen Postfix Gemeinschaft Betreff: Re: [postfix-users] Entweder nur eigene Domain kann mailenoderopenRelay
On 04.05.2010, at 10:24, Uwe Driessen wrote:
On Behalf Of Steve Guhr
Hier die postconf -n:
alias_database = hash:/etc/aliases alias_maps = hash:/etc/aliases append_dot_mydomain = no biff = no broken_sasl_auth_clients = yes config_directory = /etc/postfix inet_interfaces = all inet_protocols = all mailbox_size_limit = 0 mydestination = myhostname = mail.domain.de mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 myorigin = /etc/mailname readme_directory = no recipient_delimiter = + relayhost = smtp_tls_note_starttls_offer = yes smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu) smtpd_recipient_restrictions = reject_unauth_pipelining, permit_mynetworks, permit_sasl_authenticated, reject_non_fqdn_recipient, reject_unauth_destination smtpd_sasl_auth_enable = yes smtpd_sasl_authenticated_header = yes smtpd_sasl_local_domain = smtpd_sasl_security_options = noanonymous smtpd_sender_login_maps = mysql:/etc/postfix/mysql_sender_login_maps.cf smtpd_sender_restrictions = permit_mynetworks, reject_sender_login_mismatch, permit_sasl_authenticated, reject
Das sollst du rauswerfen und in smtpd_recipient_restrictions mit rein nehmen
Also gar keine sender_restrictions ?!
smtpd_tls_CAfile = /etc/postfix/ssl/demoCA/cacert.pem smtpd_tls_cert_file = /etc/postfix/ssl/server-crt.pem smtpd_tls_key_file = /etc/postfix/ssl/server-key.pem smtpd_tls_loglevel = 1 smtpd_tls_received_header = yes smtpd_tls_session_cache_timeout = 3600s smtpd_use_tls = yes tls_random_prng_update_period = 3600s tls_random_source = dev:/dev/urandom virtual_alias_maps = mysql:/etc/postfix/mysql_virtual_alias_maps.cf virtual_gid_maps = static:5000 virtual_mailbox_base = /home/vmail virtual_mailbox_domains = mysql:/etc/postfix/mysql_virtual_domains_maps.cf virtual_mailbox_limit = 51200000 virtual_mailbox_maps = mysql:/etc/postfix/mysql_virtual_mailbox_maps.cf virtual_minimum_uid = 5000 virtual_transport = virtual virtual_uid_maps = static:5000
Das mit dem Oneway ist eben die Sache: der Server ist im Aufbau, insofern gibt es noch keine Nutzer großartig, wir können innerhalb der Domain gegenseitig mailen (uneingeschränkt), aber sobald eben etwas fremdes antworten möchte, knallts. Rein von der Theorie sollte ich ja auch nur die Sender restrictions anpassen, weil darum geht es mir ja, empfangen will ich erstmal alles ... aber der macht das nicht so, wie er soll und wendet iwie auch sender restrictions für ankommende mails an ...
Er macht das aber genauso wie du es Ihm gesagt hast. Ist er fremd dann gelten die regeln nach dem permit_sasl zusätzlich Mit dem reject nach dem permit kann nur senden wer sich angemeldet hat.
Leider drückst du dich etwas unklar aus was der Server wirklich tun soll. Soll er nur interne Mails von bekannten Usern zustellen und das auch nicht von extern drauf geantwortet werden kann dann stimmt deine Config. Solltest dann aber auch evtl. drauf achten das keine Mails an fremde geschickt werden können.
Er soll einfach alle Mails annehmen können und nur authorisierte User senden lassen ... :)
Willst du von von "fremden" Server Mails annehmen dann ist dein Setup entsprechend zu erweitern.
Auf Postfix.org gibt es verwendbare Anleitungen wie vorzugehen ist.
Das feintuning kommt dann danach.
Mit freundlichen Grüßen
Drießen
-- Software & Computer Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: +49 06708 / 660045 Fax: +49 06708 / 661397
postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
_______________________________________________ postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
On 04.05.2010, at 11:00, Patrick Schroth wrote:
Hi.
Die Abarbeitung der restrictions erfolgt hintereinander, d.h. bevor die restrictions in smtpd_recipient_restrictions abgearbeitet werden, kommen die smtpd_sender_restrictions dran. In deinem Setup dürfen in den sender-restrictions aber ausschließlich per SASL authentifizierte Benutzer senden und somit keiner der sich nicht anmeldet. Das möchtest du aber nicht,
Doch es sollen eben nur die SENDEN dürfen, die zu dem Server gehören, bzw, sich authorisieren können. EMPFANGEN werden soll aber alles, also meine Meinung nach rein logisch volle sender_restrictions und KEINE recipient_restrictions, aber das funktioniert iwie nicht .... -.-
denke ich mal. Deshalb sollte meiner Meinung nach, ein permit am Ende der sender-restrictions stehen. Erst bei den recipient-restrictions testet der Server, ob die Empfängeradresse zu dem Server gehört (reject_unauth_destination -> permit am Ende bzw. permit_auth_destination -> reject am Ende der restriction).
Bitte um Berichtigung, falls ich was falsches verzapft haben sollte.
mfg Patrick
-----Ursprüngliche Nachricht----- Von: postfix-users-bounces+patrick.schroth=transmit.de@de.postfix.org [mailto:postfix-users-bounces+patrick.schroth=transmit.de@de.postfix.org] Im Auftrag von Steve Guhr Gesendet: Dienstag, 4. Mai 2010 10:38 An: Mailing-Liste der deutschsprachigen Postfix Gemeinschaft Betreff: Re: [postfix-users] Entweder nur eigene Domain kann mailenoderopenRelay
On 04.05.2010, at 10:24, Uwe Driessen wrote:
On Behalf Of Steve Guhr
Hier die postconf -n:
alias_database = hash:/etc/aliases alias_maps = hash:/etc/aliases append_dot_mydomain = no biff = no broken_sasl_auth_clients = yes config_directory = /etc/postfix inet_interfaces = all inet_protocols = all mailbox_size_limit = 0 mydestination = myhostname = mail.domain.de mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 myorigin = /etc/mailname readme_directory = no recipient_delimiter = + relayhost = smtp_tls_note_starttls_offer = yes smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu) smtpd_recipient_restrictions = reject_unauth_pipelining, permit_mynetworks, permit_sasl_authenticated, reject_non_fqdn_recipient, reject_unauth_destination smtpd_sasl_auth_enable = yes smtpd_sasl_authenticated_header = yes smtpd_sasl_local_domain = smtpd_sasl_security_options = noanonymous smtpd_sender_login_maps = mysql:/etc/postfix/mysql_sender_login_maps.cf smtpd_sender_restrictions = permit_mynetworks, reject_sender_login_mismatch, permit_sasl_authenticated, reject
Das sollst du rauswerfen und in smtpd_recipient_restrictions mit rein nehmen
Also gar keine sender_restrictions ?!
smtpd_tls_CAfile = /etc/postfix/ssl/demoCA/cacert.pem smtpd_tls_cert_file = /etc/postfix/ssl/server-crt.pem smtpd_tls_key_file = /etc/postfix/ssl/server-key.pem smtpd_tls_loglevel = 1 smtpd_tls_received_header = yes smtpd_tls_session_cache_timeout = 3600s smtpd_use_tls = yes tls_random_prng_update_period = 3600s tls_random_source = dev:/dev/urandom virtual_alias_maps = mysql:/etc/postfix/mysql_virtual_alias_maps.cf virtual_gid_maps = static:5000 virtual_mailbox_base = /home/vmail virtual_mailbox_domains = mysql:/etc/postfix/mysql_virtual_domains_maps.cf virtual_mailbox_limit = 51200000 virtual_mailbox_maps = mysql:/etc/postfix/mysql_virtual_mailbox_maps.cf virtual_minimum_uid = 5000 virtual_transport = virtual virtual_uid_maps = static:5000
Das mit dem Oneway ist eben die Sache: der Server ist im Aufbau, insofern gibt es noch keine Nutzer großartig, wir können innerhalb der Domain gegenseitig mailen (uneingeschränkt), aber sobald eben etwas fremdes antworten möchte, knallts. Rein von der Theorie sollte ich ja auch nur die Sender restrictions anpassen, weil darum geht es mir ja, empfangen will ich erstmal alles ... aber der macht das nicht so, wie er soll und wendet iwie auch sender restrictions für ankommende mails an ...
Er macht das aber genauso wie du es Ihm gesagt hast. Ist er fremd dann gelten die regeln nach dem permit_sasl zusätzlich Mit dem reject nach dem permit kann nur senden wer sich angemeldet hat.
Leider drückst du dich etwas unklar aus was der Server wirklich tun soll. Soll er nur interne Mails von bekannten Usern zustellen und das auch nicht von extern drauf geantwortet werden kann dann stimmt deine Config. Solltest dann aber auch evtl. drauf achten das keine Mails an fremde geschickt werden können.
Er soll einfach alle Mails annehmen können und nur authorisierte User senden lassen ... :)
Willst du von von "fremden" Server Mails annehmen dann ist dein Setup entsprechend zu erweitern.
Auf Postfix.org gibt es verwendbare Anleitungen wie vorzugehen ist.
Das feintuning kommt dann danach.
Mit freundlichen Grüßen
Drießen
-- Software & Computer Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: +49 06708 / 660045 Fax: +49 06708 / 661397
postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users _______________________________________________ postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Doch es sollen eben nur die SENDEN dürfen, die zu dem Server gehören, bzw, sich authorisieren können. EMPFANGEN werden soll aber alles, also meine >>> Meinung nach rein logisch volle sender_restrictions und KEINE recipient_restrictions, aber das funktioniert iwie nicht .... -.-
Und somit sollen doch auch diejenigen über deinen Server senden dürfen, die eine Adresse auf deinem Server erreichen möchten oder etwa nicht?? So wie deine sender-restrictions stehen, müsstest du der ganzen Welt deine Login-Daten geben, damit diese eine Adresse auf deinem Server erreichen kann.
-----Ursprüngliche Nachricht----- Von: postfix-users-bounces+patrick.schroth=transmit.de@de.postfix.org [mailto:postfix-users-bounces+patrick.schroth=transmit.de@de.postfix.org] Im Auftrag von Steve Guhr Gesendet: Dienstag, 4. Mai 2010 11:05 An: Mailing-Liste der deutschsprachigen Postfix Gemeinschaft Betreff: Re: [postfix-users] Entweder nur eigene Domain kannmailenoderopenRelay
On 04.05.2010, at 11:00, Patrick Schroth wrote:
Hi.
Die Abarbeitung der restrictions erfolgt hintereinander, d.h. bevor die restrictions in smtpd_recipient_restrictions abgearbeitet werden, kommen die smtpd_sender_restrictions dran. In deinem Setup dürfen in den sender-restrictions aber ausschließlich per SASL authentifizierte Benutzer senden und somit keiner der sich nicht anmeldet. Das möchtest du aber nicht,
Doch es sollen eben nur die SENDEN dürfen, die zu dem Server gehören, bzw, sich authorisieren können. EMPFANGEN werden soll aber alles, also meine Meinung nach rein logisch volle sender_restrictions und KEINE recipient_restrictions, aber das funktioniert iwie nicht .... -.-
denke ich mal. Deshalb sollte meiner Meinung nach, ein permit am Ende der sender-restrictions stehen. Erst bei den recipient-restrictions testet der Server, ob die Empfängeradresse zu dem Server gehört (reject_unauth_destination -> permit am Ende bzw. permit_auth_destination -> reject am Ende der restriction).
Bitte um Berichtigung, falls ich was falsches verzapft haben sollte.
mfg Patrick
-----Ursprüngliche Nachricht----- Von: postfix-users-bounces+patrick.schroth=transmit.de@de.postfix.org [mailto:postfix-users-bounces+patrick.schroth=transmit.de@de.postfix.org] Im Auftrag von Steve Guhr Gesendet: Dienstag, 4. Mai 2010 10:38 An: Mailing-Liste der deutschsprachigen Postfix Gemeinschaft Betreff: Re: [postfix-users] Entweder nur eigene Domain kann mailenoderopenRelay
On 04.05.2010, at 10:24, Uwe Driessen wrote:
On Behalf Of Steve Guhr
Hier die postconf -n:
alias_database = hash:/etc/aliases alias_maps = hash:/etc/aliases append_dot_mydomain = no biff = no broken_sasl_auth_clients = yes config_directory = /etc/postfix inet_interfaces = all inet_protocols = all mailbox_size_limit = 0 mydestination = myhostname = mail.domain.de mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 myorigin = /etc/mailname readme_directory = no recipient_delimiter = + relayhost = smtp_tls_note_starttls_offer = yes smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu) smtpd_recipient_restrictions = reject_unauth_pipelining, permit_mynetworks, permit_sasl_authenticated, reject_non_fqdn_recipient, reject_unauth_destination smtpd_sasl_auth_enable = yes smtpd_sasl_authenticated_header = yes smtpd_sasl_local_domain = smtpd_sasl_security_options = noanonymous smtpd_sender_login_maps = mysql:/etc/postfix/mysql_sender_login_maps.cf smtpd_sender_restrictions = permit_mynetworks, reject_sender_login_mismatch, permit_sasl_authenticated, reject
Das sollst du rauswerfen und in smtpd_recipient_restrictions mit rein nehmen
Also gar keine sender_restrictions ?!
smtpd_tls_CAfile = /etc/postfix/ssl/demoCA/cacert.pem smtpd_tls_cert_file = /etc/postfix/ssl/server-crt.pem smtpd_tls_key_file = /etc/postfix/ssl/server-key.pem smtpd_tls_loglevel = 1 smtpd_tls_received_header = yes smtpd_tls_session_cache_timeout = 3600s smtpd_use_tls = yes tls_random_prng_update_period = 3600s tls_random_source = dev:/dev/urandom virtual_alias_maps = mysql:/etc/postfix/mysql_virtual_alias_maps.cf virtual_gid_maps = static:5000 virtual_mailbox_base = /home/vmail virtual_mailbox_domains = mysql:/etc/postfix/mysql_virtual_domains_maps.cf virtual_mailbox_limit = 51200000 virtual_mailbox_maps = mysql:/etc/postfix/mysql_virtual_mailbox_maps.cf virtual_minimum_uid = 5000 virtual_transport = virtual virtual_uid_maps = static:5000
Das mit dem Oneway ist eben die Sache: der Server ist im Aufbau, insofern gibt es noch keine Nutzer großartig, wir können innerhalb der Domain gegenseitig mailen (uneingeschränkt), aber sobald eben etwas fremdes antworten möchte, knallts. Rein von der Theorie sollte ich ja auch nur die Sender restrictions anpassen, weil darum geht es mir ja, empfangen will ich erstmal alles ... aber der macht das nicht so, wie er soll und wendet iwie auch sender restrictions für ankommende mails an ...
Er macht das aber genauso wie du es Ihm gesagt hast. Ist er fremd dann gelten die regeln nach dem permit_sasl zusätzlich Mit dem reject nach dem permit kann nur senden wer sich angemeldet hat.
Leider drückst du dich etwas unklar aus was der Server wirklich tun soll. Soll er nur interne Mails von bekannten Usern zustellen und das auch nicht von extern drauf geantwortet werden kann dann stimmt deine Config. Solltest dann aber auch evtl. drauf achten das keine Mails an fremde geschickt werden können.
Er soll einfach alle Mails annehmen können und nur authorisierte User senden lassen ... :)
Willst du von von "fremden" Server Mails annehmen dann ist dein Setup entsprechend zu erweitern.
Auf Postfix.org gibt es verwendbare Anleitungen wie vorzugehen ist.
Das feintuning kommt dann danach.
Mit freundlichen Grüßen
Drießen
-- Software & Computer Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: +49 06708 / 660045 Fax: +49 06708 / 661397
postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users _______________________________________________ postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
_______________________________________________ postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Wäre demnach ein "permit_sasl_auhenticated" unter den sender_restrictions auch, wenn jmd mir eine mail senden möchte ? Oo
Wie müssten die rec. und send. restrictions denn aussehen, wenn ich als admin@domain.de senden möchte und von jedem empfangen will, aber niemand ohne login über meinen server senden kann ?!
On 04.05.2010, at 11:15, Patrick Schroth wrote:
Doch es sollen eben nur die SENDEN dürfen, die zu dem Server gehören, bzw, sich authorisieren können. EMPFANGEN werden soll aber alles, also meine >>> Meinung nach rein logisch volle sender_restrictions und KEINE recipient_restrictions, aber das funktioniert iwie nicht .... -.-
Und somit sollen doch auch diejenigen über deinen Server senden dürfen, die eine Adresse auf deinem Server erreichen möchten oder etwa nicht?? So wie deine sender-restrictions stehen, müsstest du der ganzen Welt deine Login-Daten geben, damit diese eine Adresse auf deinem Server erreichen kann.
-----Ursprüngliche Nachricht----- Von: postfix-users-bounces+patrick.schroth=transmit.de@de.postfix.org [mailto:postfix-users-bounces+patrick.schroth=transmit.de@de.postfix.org] Im Auftrag von Steve Guhr Gesendet: Dienstag, 4. Mai 2010 11:05 An: Mailing-Liste der deutschsprachigen Postfix Gemeinschaft Betreff: Re: [postfix-users] Entweder nur eigene Domain kannmailenoderopenRelay
On 04.05.2010, at 11:00, Patrick Schroth wrote:
Hi.
Die Abarbeitung der restrictions erfolgt hintereinander, d.h. bevor die restrictions in smtpd_recipient_restrictions abgearbeitet werden, kommen die smtpd_sender_restrictions dran. In deinem Setup dürfen in den sender-restrictions aber ausschließlich per SASL authentifizierte Benutzer senden und somit keiner der sich nicht anmeldet. Das möchtest du aber nicht,
Doch es sollen eben nur die SENDEN dürfen, die zu dem Server gehören, bzw, sich authorisieren können. EMPFANGEN werden soll aber alles, also meine Meinung nach rein logisch volle sender_restrictions und KEINE recipient_restrictions, aber das funktioniert iwie nicht .... -.-
denke ich mal. Deshalb sollte meiner Meinung nach, ein permit am Ende der sender-restrictions stehen. Erst bei den recipient-restrictions testet der Server, ob die Empfängeradresse zu dem Server gehört (reject_unauth_destination -> permit am Ende bzw. permit_auth_destination -> reject am Ende der restriction).
Bitte um Berichtigung, falls ich was falsches verzapft haben sollte.
mfg Patrick
-----Ursprüngliche Nachricht----- Von: postfix-users-bounces+patrick.schroth=transmit.de@de.postfix.org [mailto:postfix-users-bounces+patrick.schroth=transmit.de@de.postfix.org] Im Auftrag von Steve Guhr Gesendet: Dienstag, 4. Mai 2010 10:38 An: Mailing-Liste der deutschsprachigen Postfix Gemeinschaft Betreff: Re: [postfix-users] Entweder nur eigene Domain kann mailenoderopenRelay
On 04.05.2010, at 10:24, Uwe Driessen wrote:
On Behalf Of Steve Guhr
Hier die postconf -n:
alias_database = hash:/etc/aliases alias_maps = hash:/etc/aliases append_dot_mydomain = no biff = no broken_sasl_auth_clients = yes config_directory = /etc/postfix inet_interfaces = all inet_protocols = all mailbox_size_limit = 0 mydestination = myhostname = mail.domain.de mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 myorigin = /etc/mailname readme_directory = no recipient_delimiter = + relayhost = smtp_tls_note_starttls_offer = yes smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu) smtpd_recipient_restrictions = reject_unauth_pipelining, permit_mynetworks, permit_sasl_authenticated, reject_non_fqdn_recipient, reject_unauth_destination smtpd_sasl_auth_enable = yes smtpd_sasl_authenticated_header = yes smtpd_sasl_local_domain = smtpd_sasl_security_options = noanonymous smtpd_sender_login_maps = mysql:/etc/postfix/mysql_sender_login_maps.cf smtpd_sender_restrictions = permit_mynetworks, reject_sender_login_mismatch, permit_sasl_authenticated, reject
Das sollst du rauswerfen und in smtpd_recipient_restrictions mit rein nehmen
Also gar keine sender_restrictions ?!
smtpd_tls_CAfile = /etc/postfix/ssl/demoCA/cacert.pem smtpd_tls_cert_file = /etc/postfix/ssl/server-crt.pem smtpd_tls_key_file = /etc/postfix/ssl/server-key.pem smtpd_tls_loglevel = 1 smtpd_tls_received_header = yes smtpd_tls_session_cache_timeout = 3600s smtpd_use_tls = yes tls_random_prng_update_period = 3600s tls_random_source = dev:/dev/urandom virtual_alias_maps = mysql:/etc/postfix/mysql_virtual_alias_maps.cf virtual_gid_maps = static:5000 virtual_mailbox_base = /home/vmail virtual_mailbox_domains = mysql:/etc/postfix/mysql_virtual_domains_maps.cf virtual_mailbox_limit = 51200000 virtual_mailbox_maps = mysql:/etc/postfix/mysql_virtual_mailbox_maps.cf virtual_minimum_uid = 5000 virtual_transport = virtual virtual_uid_maps = static:5000
Das mit dem Oneway ist eben die Sache: der Server ist im Aufbau, insofern gibt es noch keine Nutzer großartig, wir können innerhalb der Domain gegenseitig mailen (uneingeschränkt), aber sobald eben etwas fremdes antworten möchte, knallts. Rein von der Theorie sollte ich ja auch nur die Sender restrictions anpassen, weil darum geht es mir ja, empfangen will ich erstmal alles ... aber der macht das nicht so, wie er soll und wendet iwie auch sender restrictions für ankommende mails an ...
Er macht das aber genauso wie du es Ihm gesagt hast. Ist er fremd dann gelten die regeln nach dem permit_sasl zusätzlich Mit dem reject nach dem permit kann nur senden wer sich angemeldet hat.
Leider drückst du dich etwas unklar aus was der Server wirklich tun soll. Soll er nur interne Mails von bekannten Usern zustellen und das auch nicht von extern drauf geantwortet werden kann dann stimmt deine Config. Solltest dann aber auch evtl. drauf achten das keine Mails an fremde geschickt werden können.
Er soll einfach alle Mails annehmen können und nur authorisierte User senden lassen ... :)
Willst du von von "fremden" Server Mails annehmen dann ist dein Setup entsprechend zu erweitern.
Auf Postfix.org gibt es verwendbare Anleitungen wie vorzugehen ist.
Das feintuning kommt dann danach.
Mit freundlichen Grüßen
Drießen
-- Software & Computer Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: +49 06708 / 660045 Fax: +49 06708 / 661397
postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users _______________________________________________ postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users _______________________________________________ postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Bitte mal richtig Quoten sonst liest keiner die Mails weil rückwärts lesen und in Spiegelschrift haben die meisten Probleme.
http://www.google.de/search?hl=de&source=hp&q=wie+quote+ich+richtig&... q=&gs_rfai= http://www.x-7.de/links/email-netiquette/zitieren-quoten-fullquotes.html
Mit freundlichen Grüßen
Drießen
Hi.
Bitte mal richtig Quoten sonst liest keiner die Mails weil rückwärts lesen und in Spiegelschrift haben die meisten Probleme.
Tschuldigung. Ich gelobe Besserung.
mfg Patrick
OK ich korrigiere, der Relay wird verneint, aber man könnte jetzt meinen Server nehmen, um meine Domains zuzuspammen ...
On 04.05.2010, at 11:50, Patrick Schroth wrote:
Hi.
Bitte mal richtig Quoten sonst liest keiner die Mails weil rückwärts lesen und in Spiegelschrift haben die meisten Probleme.
Tschuldigung. Ich gelobe Besserung.
mfg Patrick
postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
OK ich korrigiere, der Relay wird verneint, aber man könnte jetzt meinen Server nehmen, um meine Domains zuzuspammen ...
Amavisd und Spamassassin wollen auch ihre Daseinsberechtigung haben. Außerdem kann man über Postfix auch schon viel abfedern. Versuch halt mal Postfix+UCE bei Google...
Ich denke, du musst dir über eines klar werden: es werden IMMER sender-restrictions und recipient-restrictions abgearbeitet, egal ob einer deiner User nach außen senden möchte oder ob irgendjemand von außen eine Adresse auf deinem Server erreichen möchte.
Mach es dir erst mal etwas einfacher, indem du nur recipient-restrictions setzt. Keine Angst, mit reject_unauth_destination verhinderst du im Prinzip schon ein offenes Relay (natürlich muss permit hinter reject_unauth_destination stehen ;o)), sofern mydestination und Konsorten entsprechend gesetzt sind. So erlaubst du zwar erst mal alles im "MAIL FROM"-Kommando, aber im "RCPT TO"-Kommando greifen dann die Beschränkungen aus smtpd_recipient_restrictions...
Bsp.: mydestination = mydomain.tld smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_unauth_destination, permit
-----Ursprüngliche Nachricht----- Von: postfix-users-bounces+patrick.schroth=transmit.de@de.postfix.org [mailto:postfix-users-bounces+patrick.schroth=transmit.de@de.postfix.org] Im Auftrag von Steve Guhr Gesendet: Dienstag, 4. Mai 2010 11:21 An: Mailing-Liste der deutschsprachigen Postfix Gemeinschaft Betreff: Re: [postfix-users] Entweder nur eigene DomainkannmailenoderopenRelay
Wäre demnach ein "permit_sasl_auhenticated" unter den sender_restrictions auch, wenn jmd mir eine mail senden möchte ? Oo
Wie müssten die rec. und send. restrictions denn aussehen, wenn ich als admin@domain.de senden möchte und von jedem empfangen will, aber niemand ohne login über meinen server senden kann ?!
On 04.05.2010, at 11:15, Patrick Schroth wrote:
Doch es sollen eben nur die SENDEN dürfen, die zu dem Server gehören, bzw, sich authorisieren können. EMPFANGEN werden soll aber alles, also meine >>> Meinung nach rein logisch volle sender_restrictions und KEINE recipient_restrictions, aber das funktioniert iwie nicht .... -.-
Und somit sollen doch auch diejenigen über deinen Server senden dürfen, die eine Adresse auf deinem Server erreichen möchten oder etwa nicht?? So wie deine sender-restrictions stehen, müsstest du der ganzen Welt deine Login-Daten geben, damit diese eine Adresse auf deinem Server erreichen kann.
-----Ursprüngliche Nachricht----- Von: postfix-users-bounces+patrick.schroth=transmit.de@de.postfix.org [mailto:postfix-users-bounces+patrick.schroth=transmit.de@de.postfix.org] Im Auftrag von Steve Guhr Gesendet: Dienstag, 4. Mai 2010 11:05 An: Mailing-Liste der deutschsprachigen Postfix Gemeinschaft Betreff: Re: [postfix-users] Entweder nur eigene Domain kannmailenoderopenRelay
On 04.05.2010, at 11:00, Patrick Schroth wrote:
Hi.
Die Abarbeitung der restrictions erfolgt hintereinander, d.h. bevor die restrictions in smtpd_recipient_restrictions abgearbeitet werden, kommen die smtpd_sender_restrictions dran. In deinem Setup dürfen in den sender-restrictions aber ausschließlich per SASL authentifizierte Benutzer senden und somit keiner der sich nicht anmeldet. Das möchtest du aber nicht,
Doch es sollen eben nur die SENDEN dürfen, die zu dem Server gehören, bzw, sich authorisieren können. EMPFANGEN werden soll aber alles, also meine Meinung nach rein logisch volle sender_restrictions und KEINE recipient_restrictions, aber das funktioniert iwie nicht .... -.-
denke ich mal. Deshalb sollte meiner Meinung nach, ein permit am Ende der sender-restrictions stehen. Erst bei den recipient-restrictions testet der Server, ob die Empfängeradresse zu dem Server gehört (reject_unauth_destination -> permit am Ende bzw. permit_auth_destination -> reject am Ende der restriction).
Bitte um Berichtigung, falls ich was falsches verzapft haben sollte.
mfg Patrick
-----Ursprüngliche Nachricht----- Von: postfix-users-bounces+patrick.schroth=transmit.de@de.postfix.org [mailto:postfix-users-bounces+patrick.schroth=transmit.de@de.postfix.org] Im Auftrag von Steve Guhr Gesendet: Dienstag, 4. Mai 2010 10:38 An: Mailing-Liste der deutschsprachigen Postfix Gemeinschaft Betreff: Re: [postfix-users] Entweder nur eigene Domain kann mailenoderopenRelay
On 04.05.2010, at 10:24, Uwe Driessen wrote:
On Behalf Of Steve Guhr
Hier die postconf -n:
alias_database = hash:/etc/aliases alias_maps = hash:/etc/aliases append_dot_mydomain = no biff = no broken_sasl_auth_clients = yes config_directory = /etc/postfix inet_interfaces = all inet_protocols = all mailbox_size_limit = 0 mydestination = myhostname = mail.domain.de mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 myorigin = /etc/mailname readme_directory = no recipient_delimiter = + relayhost = smtp_tls_note_starttls_offer = yes smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu) smtpd_recipient_restrictions = reject_unauth_pipelining, permit_mynetworks, permit_sasl_authenticated, reject_non_fqdn_recipient, reject_unauth_destination smtpd_sasl_auth_enable = yes smtpd_sasl_authenticated_header = yes smtpd_sasl_local_domain = smtpd_sasl_security_options = noanonymous smtpd_sender_login_maps = mysql:/etc/postfix/mysql_sender_login_maps.cf smtpd_sender_restrictions = permit_mynetworks, reject_sender_login_mismatch, permit_sasl_authenticated, reject
Das sollst du rauswerfen und in smtpd_recipient_restrictions mit rein nehmen
Also gar keine sender_restrictions ?!
smtpd_tls_CAfile = /etc/postfix/ssl/demoCA/cacert.pem smtpd_tls_cert_file = /etc/postfix/ssl/server-crt.pem smtpd_tls_key_file = /etc/postfix/ssl/server-key.pem smtpd_tls_loglevel = 1 smtpd_tls_received_header = yes smtpd_tls_session_cache_timeout = 3600s smtpd_use_tls = yes tls_random_prng_update_period = 3600s tls_random_source = dev:/dev/urandom virtual_alias_maps = mysql:/etc/postfix/mysql_virtual_alias_maps.cf virtual_gid_maps = static:5000 virtual_mailbox_base = /home/vmail virtual_mailbox_domains = mysql:/etc/postfix/mysql_virtual_domains_maps.cf virtual_mailbox_limit = 51200000 virtual_mailbox_maps = mysql:/etc/postfix/mysql_virtual_mailbox_maps.cf virtual_minimum_uid = 5000 virtual_transport = virtual virtual_uid_maps = static:5000
Das mit dem Oneway ist eben die Sache: der Server ist im Aufbau, insofern gibt es noch keine Nutzer großartig, wir können innerhalb der Domain gegenseitig mailen (uneingeschränkt), aber sobald eben etwas fremdes antworten möchte, knallts. Rein von der Theorie sollte ich ja auch nur die Sender restrictions anpassen, weil darum geht es mir ja, empfangen will ich erstmal alles ... aber der macht das nicht so, wie er soll und wendet iwie auch sender restrictions für ankommende mails an ...
Er macht das aber genauso wie du es Ihm gesagt hast. Ist er fremd dann gelten die regeln nach dem permit_sasl zusätzlich Mit dem reject nach dem permit kann nur senden wer sich angemeldet hat.
Leider drückst du dich etwas unklar aus was der Server wirklich tun soll. Soll er nur interne Mails von bekannten Usern zustellen und das auch nicht von extern drauf geantwortet werden kann dann stimmt deine Config. Solltest dann aber auch evtl. drauf achten das keine Mails an fremde geschickt werden können.
Er soll einfach alle Mails annehmen können und nur authorisierte User senden lassen ... :)
Willst du von von "fremden" Server Mails annehmen dann ist dein Setup entsprechend zu erweitern.
Auf Postfix.org gibt es verwendbare Anleitungen wie vorzugehen ist.
Das feintuning kommt dann danach.
Mit freundlichen Grüßen
Drießen
-- Software & Computer Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: +49 06708 / 660045 Fax: +49 06708 / 661397
postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users _______________________________________________ postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users _______________________________________________ postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
_______________________________________________ postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
On Behalf Of Steve Guhr
On 04.05.2010, at 11:00, Patrick Schroth wrote:
Hi.
Die Abarbeitung der restrictions erfolgt hintereinander, d.h. bevor die restrictions
in smtpd_recipient_restrictions abgearbeitet werden, kommen die smtpd_sender_restrictions dran. In deinem Setup dürfen in den sender-restrictions aber ausschließlich per SASL authentifizierte Benutzer senden und somit keiner der sich nicht anmeldet. Das möchtest du aber nicht,
Doch es sollen eben nur die SENDEN dürfen, die zu dem Server gehören, bzw, sich authorisieren können. EMPFANGEN werden soll aber alles, also meine Meinung nach rein logisch volle sender_restrictions und KEINE recipient_restrictions, aber das funktioniert iwie nicht .... -.-
Dann brauchst du ein anderes Setup! Schon mal die "HAU TU ES" auf Postfix.org gelesen? Reingeschaut? Mal dran gedacht reinzuschauen? Wenn ich mich recht entsinne sind dort für jeden Anwendungszweck welche verfügbar.
Feintuning ist dann was anderes. Fertige Lösungen gibt es hier nicht! Also erstmal auf den genannten Seiten lesen, umsetzen und dann schauen wir mal weiter.
denke ich mal. Deshalb sollte meiner Meinung nach, ein permit am Ende der sender-
restrictions stehen.
Nö garnix mit permit sind die Prüfungen zu ende wenn ich mich recht erinnere
Erst bei den recipient-restrictions testet der Server, ob die Empfängeradresse zu dem
Server gehört (reject_unauth_destination -> permit am Ende bzw. permit_auth_destination -> reject am Ende der restriction).
Bitte um Berichtigung, falls ich was falsches verzapft haben sollte.
Nö alles richtig aber man braucht außer den Recipient_restriktionen keine anderen!
Kommt eine Mail in den Status dann habe ich "ALLE" Informationen für eine Prüfung. Also alles in die smtpd_recipient_restrictions reinpacken und JEDE PRÜFUNG einmal durchführen und damit ist gut.
BEISPIEL :
smtpd_recipient_restrictions = reject_unknown_sender_domain, reject_unknown_recipient_domain, permit_mynetworks, reject_unlisted_recipient, reject_non_fqdn_sender, reject_non_fqdn_recipient, reject_sender_login_mismatch, reject_unlisted_sender, permit_sasl_authenticated, reject_unauthenticated_sender_login_mismatch, reject_unauth_destination, sleep 1, reject_invalid_helo_hostname, reject_non_fqdn_helo_hostname, reject_unknown_reverse_client_hostname, reject_unknown_client_hostname, check_client_access pcre:/etc/postfix/maps/dialups.grey, check_recipient_access hash:/etc/postfix/roleaccount, check_policy_service inet:127.0.0.1:12525, reject_rbl_client zen.spamhaus.org, reject_rbl_client ix.dnsbl.manitu.net
nachzulesen auf http://www.postfix.org/postconf.5.html
wir bauen dir hier kein Setup für deinen Server! Wir geben hinweise wo etwas schief läuft und nennen gerne auch quellen zum nachlesen.
Lesen musst du schon selber. Dein Setup musst du auch selber aufbauen. Keiner von uns ist im Glaskugellesen bewandert und kann in dein System reinschauen. Keiner kennt den Spam den du evtl. abwehren möchtest(hast du da ein Problem kann man schauen ob schon mal jemand das Problem hatte und eine für DEINEN SERVER passende Lösung suchen)
Deine Frage ist jetzt schon mehrfach beantwortet worden, fang mal an umzusetzen.
Mit freundlichen Grüßen
Drießen
participants (5)
-
Morten P.D. Stevens -
Patrick Schroth -
Philipp Nöbauer -
Steve Guhr -
Uwe Driessen