[postfix-users] Kann man die receipents_map umgehen?
Hallo,
ich habe einen (vorgelagerten) Postfix-Server, der anhand einer receipents_map prüft, ob er eine Mail an eine bestimmte Mailadresse auf den eigentliche Postfix weiterleitet - das funktioniert sehr gut.
Jetzt allerdings soll eine neue Bedingung dazu kommen: leite alle Mails "nach innen" weiter, ohne auf einen Empfänger in der receipents_map zu prüfen, aber nur dann, wenn diese Mail von einem bestimmten Server kommt.
Ich habe den "vertrauenswürdigen" Server, der alles an alle einliefern darf, bereits in mynetworks eingetragen, die Annahme von Mails wird aber für unbekannte Adressen verweigert.
Zur Eräuterung: "unbekannte" Adressen sind in unserem Wording "interne" Adressen, die nur im Hause genutzt werden und von außen nicht erreichbar sind - es sei denn, sie werden von einem bestimmten client kommend eingeliefert.
Habt ihr einen Tipp?
Danke, Martin
Am 06.06.2013 15:13, schrieb Martin Rabl:
Hallo,
ich habe einen (vorgelagerten) Postfix-Server, der anhand einer receipents_map prüft, ob er eine Mail an eine bestimmte Mailadresse auf den eigentliche Postfix weiterleitet - das funktioniert sehr gut.
Jetzt allerdings soll eine neue Bedingung dazu kommen: leite alle Mails "nach innen" weiter, ohne auf einen Empfänger in der receipents_map zu prüfen, aber nur dann, wenn diese Mail von einem bestimmten Server kommt.
Ich habe den "vertrauenswürdigen" Server, der alles an alle einliefern darf, bereits in mynetworks eingetragen, die Annahme von Mails wird aber für unbekannte Adressen verweigert.
Zur Eräuterung: "unbekannte" Adressen sind in unserem Wording "interne" Adressen, die nur im Hause genutzt werden und von außen nicht erreichbar sind - es sei denn, sie werden von einem bestimmten client kommend eingeliefert.
Habt ihr einen Tipp?
kann man pauschal eher schlecht beantworten, lass mal deine config sehen
derweil lies mal
http://www.postfix.org/RESTRICTION_CLASS_README.html
Danke, Martin _______________________________________________ postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Best Regards MfG Robert Schetterer
* Martin Rabl martin.rabl@rablnet.de:
Hallo,
ich habe einen (vorgelagerten) Postfix-Server, der anhand einer receipents_map prüft, ob er eine Mail an eine bestimmte Mailadresse auf den eigentliche Postfix weiterleitet - das funktioniert sehr gut.
Vorbildlich. So macht man das :)
Jetzt allerdings soll eine neue Bedingung dazu kommen: leite alle Mails "nach innen" weiter, ohne auf einen Empfänger in der receipents_map zu prüfen, aber nur dann, wenn diese Mail von einem bestimmten Server kommt.
Und bei den Recipients handelt es sich um welche in einer bereits existenten Domain (für die schon die Empfänger in deiner receipents_map geprüft werden)?
Ich habe den "vertrauenswürdigen" Server, der alles an alle einliefern darf, bereits in mynetworks eingetragen, die Annahme von Mails wird aber für unbekannte Adressen verweigert.
Zur Eräuterung: "unbekannte" Adressen sind in unserem Wording "interne" Adressen, die nur im Hause genutzt werden und von außen nicht erreichbar sind - es sei denn, sie werden von einem bestimmten client kommend eingeliefert.
Du hast in deinen Restrictions "reject_unlisted_recipient" schon drin oder nicht?
Hallo,
vielen Dank, Ralf und Robert, für eure Antworten.
Am 06.06.2013 16:00, schrieb Ralf Hildebrandt:
- Martin Rabl martin.rabl@rablnet.de:
Vorbildlich. So macht man das :)
Ich hab da ein Buch von einem Herrn ... wie hieß der gleich nochmal?
Du hast in deinen Restrictions "reject_unlisted_recipient" schon drin oder nicht?
Nein.
Am 06.06.2013 15:28, schrieb Robert Schetterer:
kann man pauschal eher schlecht beantworten, lass mal deine config sehen derweil lies mal http://www.postfix.org/RESTRICTION_CLASS_README.html
Danke! Sehr interessant!
Hier mal meine Config, bzw. der relevante Teil Der Rechner, der relayen dürfen sollte ohne Prüfung, liegt im Netz von 1.2.3.192/26. Der "innere" Mailserver ist 10.30.18.112.
################################################################################
## Server itself mydestination = myhostname = vmuc.meine-domain.de mynetworks = 1.2.3.192/26 10.30.18.40 10.30.18.112 myorigin = meine-domain.de
## Transport - holds the addressed domains ## meine-domain.de relay:[10.30.18.112] ## meinedomain.de relay:[10.30.18.112] transport_maps = hash:/etc/postfix/conf/transport
## SMTP/D smtpd_sender_restrictions = reject_unknown_sender_domain # sender_access ist leer check_sender_access hash:/etc/postfix/conf/sender_access reject_non_fqdn_sender smtpd_data_restrictions = reject_unauth_pipelining
# Greylisting is the last entry smtpd_recipient_restrictions = permit_mynetworks reject_unknown_sender_domain reject_non_fqdn_recipient reject_unknown_recipient_domain reject_unauth_pipelining # sender_access ist leer check_sender_access hash:/etc/postfix/conf/sender_access # recipient_access ist leer check_recipient_access hash:/etc/postfix/conf/recipient_access reject_unauth_destination # DNSBL lists reject_rbl_client zen.spamhaus.org # Greylisting - No LOOPBACK-Device possible! check_policy_service inet:1.2.3.200:60000
# Helo smtpd_helo_required = yes smtpd_helo_restrictions = permit_mynetworks permit_sasl_authenticated # helo_access ist leer check_helo_access hash:/etc/postfix/conf/helo_access reject_invalid_hostname permit
smtpd_banner = $myhostname ESMTP $mail_name smtpd_delay_reject = yes
# timeouts and limits smtpd_timeout = 600s smtpd_recipient_limit = 50 smtp_destination_recipient_limit = 50 smtp_destination_concurrency_limit = 50 minimal_backoff_time = 60s queue_run_delay = 60s
## Relay relayhost = ## transport enthaelt ## meine-domain.de relay:[10.30.18.112] ## meinedomain.de relay:[10.30.18.112] relay_domains = hash:/etc/postfix/conf/transport
## Hier sind die erlaubten Empfaengeradressen enthalten relay_recipient_maps = hash:/etc/postfix/conf/relay_recipients
## Misc disable_vrfy_command = yes masquerade_domains = $mydomain swap_bangpath = no append_dot_mydomain = no biff = no queue_minfree = 300000000
# mra: Docu recommend this, 450 is better than 550 unknown_local_recipient_reject_code = 450
################################################################################
Danke (und Grüße aus dem Münchner Norden)!
Du hast in deinen Restrictions "reject_unlisted_recipient" schon drin oder nicht?
Nein.
Aha. Wenn Du diese explizit an einer Stelle reinnimmst (aktuell ist sie implizit ganz am Ende!), dann kannst Du davor Ausnahmen machen.
smtpd_recipient_restrictions = permit_mynetworks reject_unknown_sender_domain reject_non_fqdn_recipient reject_unknown_recipient_domain reject_unauth_pipelining # sender_access ist leer check_sender_access hash:/etc/postfix/conf/sender_access # recipient_access ist leer check_recipient_access hash:/etc/postfix/conf/recipient_access reject_unauth_destination # DNSBL lists reject_rbl_client zen.spamhaus.org # Greylisting - No LOOPBACK-Device possible! check_policy_service inet:1.2.3.200:60000
Hallo Ralf,
vielen Dank zunächst!
Am 11.06.2013 09:20, schrieb Ralf Hildebrandt:
Du hast in deinen Restrictions "reject_unlisted_recipient" schon drin
Aha. Wenn Du diese explizit an einer Stelle reinnimmst (aktuell ist sie implizit ganz am Ende!), dann kannst Du davor Ausnahmen machen.
Ok. Danke.
smtpd_recipient_restrictions = permit_mynetworks
Da wäre dann die Folge-Frage: welche Restriction könntest Du da empfehlen? "check_helo_access" wäre da wohl nicht so der Brüller, denke ich ...
Dazu kommt: ich habe noch die relay_recipient_maps = hash:/etc/postfix/conf/relay_recipients am Laufen, die ja für den besonders vertrauenswürdigen Server faktisch umgangen werden soll. Ich denke, da helfen PERMIT-Rules in smtpd_recipient_restrictions nicht so sehr, oder bin ich da auf dem Holzweg? (Postfix meldet jedenfalls immer, das er die (interne) Adresse nicht kennt, weil sie nicht in der Relay-Liste ist. Braver Postbote!)
participants (3)
-
Martin Rabl -
Ralf Hildebrandt -
Robert Schetterer