Hallo,
ich bin durch das Gucken der Videos vom CCC über diesen Link gestolpert:
http://blog.debuglevel.de/liebesgruesse-vom-congress/
Da steht als Lösung um das zu umgehen, was da passierte SMTP-Auth... Aber, ich kann doch bei einem MTA, der ja Mails von anderen Servern annehmen soll, kein SMTP Auth verlangen? Oder sehe ich da was falsch... es muss doch möglich sein für einen Server eine Mail bei meinem Server abzugeben die an eine lokale Adresse geht ohne das er einen User bei mir hat...?
Gruß und guten Rutsch, Alex
Zitat von Alexander Palm alexander.palm@gmail.com:
Hallo,
ich bin durch das Gucken der Videos vom CCC über diesen Link gestolpert:
http://blog.debuglevel.de/liebesgruesse-vom-congress/
Da steht als Lösung um das zu umgehen, was da passierte SMTP-Auth... Aber, ich kann doch bei einem MTA, der ja Mails von anderen Servern annehmen soll, kein SMTP Auth verlangen? Oder sehe ich da was falsch... es muss doch möglich sein für einen Server eine Mail bei meinem Server abzugeben die an eine lokale Adresse geht ohne das er einen User bei mir hat...?
Gruß und guten Rutsch, Alex
Mailversand (relaying) und Mailempfang (geistig) trennen!!!
Maileingang sollte bei passendem Empfänger natürlich ohne Auth möglich sein.
Mailversand (relaying) an beliebige Empfänger sollte nur möglich sein wenn der Benutzer authentifiziert (Benutzername & Password) ist und nicht wie im beschriebenen Beispiel wenn er eine gültige Absenderadresse kennt.
Gruß & Guten Rutsch
Andreas
Huhu Andreas,
Danke für die schnelle Antwort.... mit welchem Schalter ändert man das... ich habe sasl bei mir aktiv und mailserver externe Adresse geht auch nur via Smtp-Auth... aber irgendwas scheint zu fehlen.... BTW... habe mal getestet. sowohl smtpin.rzone.de (Strato) als auch der MX von gmx nehmen Mails an wenn absender und Empfänger existieren... also ich kann mir ohne auth von extern selber Mails senden.... :-o
Liebe Grüße, Alex
Zitat von Alexander Palm alexander.palm@gmail.com:
Huhu Andreas,
Danke für die schnelle Antwort.... mit welchem Schalter ändert man das... ich habe sasl bei mir aktiv und mailserver externe Adresse geht auch nur via Smtp-Auth... aber irgendwas scheint zu fehlen....
http://www.postfix.org/SASL_README.html#server_sasl_enable
Auth aktivieren und die Policy für smtpd so anpassen das authenticated clients die Relay Restrictionen Umgehen dürfen (permit_sasl_authenticated).
BTW... habe mal getestet. sowohl smtpin.rzone.de (Strato) als auch der MX von gmx nehmen Mails an wenn absender und Empfänger existieren... also ich kann mir ohne auth von extern selber Mails senden.... :-o
Liebe Grüße, Alex
Natürlich, wenn der !Empfänger! eine gültige dem MX zugeordnete Adresse ist spielt der Absender keine Rolle. Das ist E-Mail. Umgekehrt darf egal welcher Absender verwendet wird ohne gültigen dem MX zugeordnetem Empfänger die E-Mail nicht weiter geleitet werden wenn kein SMTP-AUTH stattgefunden hat, zumindest nicht von beliebigen IP-Adressen.
Gruß
Andreas
Am 01.01.2015 um 15:02 schrieb lst_hoe02@kwsoft.de:
Zitat von Alexander Palm alexander.palm@gmail.com:
Huhu Andreas,
Danke für die schnelle Antwort.... mit welchem Schalter ändert man das... ich habe sasl bei mir aktiv und mailserver externe Adresse geht auch nur via Smtp-Auth... aber irgendwas scheint zu fehlen....
http://www.postfix.org/SASL_README.html#server_sasl_enable
Auth aktivieren und die Policy für smtpd so anpassen das authenticated clients die Relay Restrictionen Umgehen dürfen (permit_sasl_authenticated).
BTW... habe mal getestet. sowohl smtpin.rzone.de (Strato) als auch der MX von gmx nehmen Mails an wenn absender und Empfänger existieren... also ich kann mir ohne auth von extern selber Mails senden.... :-o
Liebe Grüße, Alex
Natürlich, wenn der !Empfänger! eine gültige dem MX zugeordnete Adresse ist spielt der Absender keine Rolle. Das ist E-Mail. Umgekehrt darf egal welcher Absender verwendet wird ohne gültigen dem MX zugeordnetem Empfänger die E-Mail nicht weiter geleitet werden wenn kein SMTP-AUTH stattgefunden hat, zumindest nicht von beliebigen IP-Adressen.
Ist es aber nicht das, worüber man sich bei dem Fall eingeschlichen hatte, dass der MX der Uni Mails angenommen hat die an gültige Adressen sind mit einem gültigen 'internen' Absender?
Also wenn ich bei mir user@myhost sende geht es ohne Auth wenn ich user@otherhost sende geht es nur mit einer gültigen Auth eines lokalen Users. Soweit sogut.
Aber es geht halt auch, wie bei Strato, GMX und der Uni, dass ich Empfänger user1@myhost Absender user2@myhost nutzen kann Ihnen Auth, wenn es user1 und user2 gibt.
Das war meine eigentliche Frage, ist das wie du sagst Email oder ist da was ungeschickt konfiguriert, wenn der MX das annimmt?
Gruß
Andreas
Gruß, Alex
Zitat von Alexander Palm alexander.palm@gmail.com:
Am 01.01.2015 um 15:02 schrieb lst_hoe02@kwsoft.de:
Zitat von Alexander Palm alexander.palm@gmail.com:
Huhu Andreas,
Danke für die schnelle Antwort.... mit welchem Schalter ändert man das... ich habe sasl bei mir aktiv und mailserver externe Adresse geht auch nur via Smtp-Auth... aber irgendwas scheint zu fehlen....
http://www.postfix.org/SASL_README.html#server_sasl_enable
Auth aktivieren und die Policy für smtpd so anpassen das authenticated clients die Relay Restrictionen Umgehen dürfen (permit_sasl_authenticated).
BTW... habe mal getestet. sowohl smtpin.rzone.de (Strato) als auch der MX von gmx nehmen Mails an wenn absender und Empfänger existieren... also ich kann mir ohne auth von extern selber Mails senden.... :-o
Liebe Grüße, Alex
Natürlich, wenn der !Empfänger! eine gültige dem MX zugeordnete Adresse ist spielt der Absender keine Rolle. Das ist E-Mail. Umgekehrt darf egal welcher Absender verwendet wird ohne gültigen dem MX zugeordnetem Empfänger die E-Mail nicht weiter geleitet werden wenn kein SMTP-AUTH stattgefunden hat, zumindest nicht von beliebigen IP-Adressen.
Ist es aber nicht das, worüber man sich bei dem Fall eingeschlichen hatte, dass der MX der Uni Mails angenommen hat die an gültige Adressen sind mit einem gültigen 'internen' Absender?
Nicht ganz. Gültige Zieladressen geht *immer*, das muß so sein bei E-Mail. Wenn aber die Relay Entscheidung anhand des Absenders geschieht ist das verkehrt. Das war wohl das Problem das ein angeblich interner Absender keine Authentifzierung benötigt.
Also wenn ich bei mir user@myhost sende geht es ohne Auth wenn ich user@otherhost sende geht es nur mit einer gültigen Auth eines lokalen Users. Soweit sogut.
Korrekt...
Aber es geht halt auch, wie bei Strato, GMX und der Uni, dass ich Empfänger user1@myhost Absender user2@myhost nutzen kann Ihnen Auth, wenn es user1 und user2 gibt.
??
Das war meine eigentliche Frage, ist das wie du sagst Email oder ist da was ungeschickt konfiguriert, wenn der MX das annimmt?
Falls du meinst das geprüft werden soll ob der Absender ein "eigener" Benutzer ist und sich auch mit dem passenden Konto angemeldet hat: Das kann man machen, ist aber nicht Standard und führt zu Problemen bei Weiterleitungen. In der Firma lassen wir von extern keine Absender mit adresse@unsere-domain.de zu, das lässt sich aber im allgemeinen nicht verhindern.
Also
- Empfänger in der eigenen Domain und korrekt --> Absender spielt keine Rolle - Empfänger nicht in der eigenen Domain --> Auth wird benötigt, Absender wird nur teilweise überprüft bzw. automatisch passenden zum Auth-Konto gesetzt
Gruß
Andreas
Gruß
Andreas
Gruß, Alex
Hi Andreas,
Danke für deine Mühe, ich hoffe das ist jetzt auch meine letzte Rückfrage, ich möchte das nur unmissverständlich für mich geklärt wissen, dass bei mir nichts falsch läuft.
Am 02.01.2015 um 23:42 schrieb lst_hoe02@kwsoft.de:
Zitat von Alexander Palm alexander.palm@gmail.com:
Ist es aber nicht das, worüber man sich bei dem Fall eingeschlichen hatte, dass der MX der Uni Mails angenommen hat die an gültige Adressen sind mit einem gültigen 'internen' Absender?
Nicht ganz. Gültige Zieladressen geht *immer*, das muß so sein bei E-Mail. Wenn aber die Relay Entscheidung anhand des Absenders geschieht ist das verkehrt. Das war wohl das Problem das ein angeblich interner Absender keine Authentifzierung benötigt.
Aber es ist doch genau was sie da tun.... Sie senden von user1@hs-kalsruhe.de an user2@hs-kalsruhe.de und schreiben aber, das ging nur weil:
Mails an …@hs-karlsruhe.de können ohne Login gesendet werden. Das heißt er setzt kein SMTP-Auth voraus. (Mails an alle anderen Adressen benötigen eine Verbindung über VPN.) nachdem wie ich es beobachtet habe bei GMX, Strato, ccc.de macht das aber jeder der Mail Server so... also Mails an die eigenen Domains unabhängig vom Absender ohne Authentifizierung anzunehmen... und du schreibst ja auch, das wäre so richtig. So war auch mein Verständnis davon, bevor ich den Blogbeitrag gelesen hatte... ich war nur irritiert, das man sich da über die mangelnde Konfiguration lustig macht.... Daher kam meine ursprüngliche Mail.
Nach allem was du aber so schreibst bin ich immer noch der Meinung, dass der mailserver bei der Hochschule sich ja nicht unbedingt falsch verhalten hat, richtig?
Also wenn ich bei mir user@myhost sende geht es ohne Auth wenn ich user@otherhost sende geht es nur mit einer gültigen Auth eines lokalen Users. Soweit sogut.
Korrekt...
Aber es geht halt auch, wie bei Strato, GMX und der Uni, dass ich Empfänger user1@myhost Absender user2@myhost nutzen kann Ihnen Auth, wenn es user1 und user2 gibt.
??
myhost stand da stellvertretende für den jeweiligen Anbieter. Also user1@gmx.de als Empfänger und user2@gmx.de als Absender wird von dem MX angenommen wenn user1 und user2 bekannt sind.
Das war meine eigentliche Frage, ist das wie du sagst Email oder ist da was ungeschickt konfiguriert, wenn der MX das annimmt?
Falls du meinst das geprüft werden soll ob der Absender ein "eigener" Benutzer ist und sich auch mit dem passenden Konto angemeldet hat: Das kann man machen, ist aber nicht Standard und führt zu Problemen bei Weiterleitungen. In der Firma lassen wir von extern keine Absender mit adresse@unsere-domain.de zu, das lässt sich aber im allgemeinen nicht verhindern.
Also
- Empfänger in der eigenen Domain und korrekt --> Absender spielt keine Rolle
Heißt also auch ein Absender der eigenen Domain wäre gültig, wie bei dem Beispiel in dem Blogbeitrag....
- Empfänger nicht in der eigenen Domain --> Auth wird benötigt, Absender wird nur teilweise überprüft bzw. automatisch passenden zum Auth-Konto gesetzt
Ja, das läuft... :-)
Gruß
Andreas
Gruß, Alex
participants (2)
-
Alexander Palm -
lst_hoe02@kwsoft.de