[postfix-users] kein Relaying denied

Patrick Ben Koetter p at state-of-mind.de
Mo Mär 22 09:15:42 CET 2010 

Hi!

* Richard Gliebe <postfix-users at de.postfix.org>:
> On 3/21/10 10:14 AM Patrick Ben Koetter wrote:
> 
> Hi Patrick,
> 
> >Die Parameter, die Du einsetzt, um nur Sendern aus Deiner Domain das relayen
> >zu gestatten sind die Falschen; sie sind dafür gedacht auf einen SMTP-Gateway
> >Domains und User zu definieren, für die Postfix Nachrichten annehmen und nach
> >hinten an einen anderen, (versteckten) Mailserver durchzureichen.
> >
> >Parameter, die Du wahrscheinlich eher willst, sind $mynetworks,
> >$smtpd_sasl_auth_enable usw.
> >
> >Was genau für Dich am besten und mit dem geringsten Aufwand funktioniert,
> >können wir Dir sagen, wenn Du mehr über Dein Netzwerk und Deine Architektur
> >sagst.
> >
> >Was genau bedeutet denn "nur Emails aus unserer Domain versenden"?
> >
> >Heißt das, es dürfen nur Ansender-Adressen nach dem Muster
> >"user@<our_domain>.at" verwendet werden? Soll es heißen, der Server soll nur
> >für diese Zieladressen Nachrichten annehmen? Soll es was ganz anderes
> >bedeuten?
> 
> hier mal eine nähere Erklärung.
> 
> der Postfix Server hängt bei uns im LAN und dient nebenher auch als
> IMAP Server.
> 
> Mein Ziel wäre es KEINEN offenen Relayer in Netz zuhaben.
> Das heisst, dass über den Postfix Server nur Emails von Absendern
> aus unserer Domain (z.B.: testuser at ourdomain.at> versendet werden
> dürfen (keine Einschränkungen bei Zieladressen), alle anderen
> Versuche sollten ein "relaying denied" erhalten.

Okay. Das kannst Du mehrstufig kontrollieren:

Client
  Du kannst das Relayen auf Basis der Clients kontrollieren und deren
  IP-Adressen über $mynetworks zulassen oder abweisen

User
  Du kannst User identifizieren und nur diese Relayen lassen

Absender-Adressen
  Du kannst User identifizieren und denen Absender-Adressen zuordnen und nur
  diesen Usern das Senden mit den zugeordneten Absender-Adressen gestatten.

Die Methode "Client" ist am Einfachsten. Einfach subnet in $mynetworks
eintragen, postfix reload und fertig. Wenn Du die Methode "User" willst,
dann musst Du SMTP AUTH konfigurieren*. Das geht schnell wenn Du z.B. auch
Dovecot auf demselben Server mit einsetzt und dauert länger wenn Du es mit
Cyrus SASLs Hilfe machen willst. Die Methode "Absender-Adressen" bringt
zusätzlich noch die Erstellung der Map mit sich. "User" und
"Absender-Adressen" sind bei vielen Usern leichter zu konfigurieren, wenn Du
eine Datenbank am Start hast in der Du Userdaten wie login, password und
adressen bereits abgelegt hast.


* Du kannst Dir auch Filter-Regeln schreiben, die im SMTP-Dialog und im Header
auf @absenderdoma.in matchen und den Rest rejecten, aber das ist wenig
brauchbar weil man eben Session-Daten und Header beliebig fälschen kann.

> Sorry, aber bin eher noch "sendmail" geschädigt ;-)

Postfix ist anders. Ich persönlich geniesse das sehr. :)

p at rick

-- 
state of mind
Digitale Kommunikation

http://www.state-of-mind.de

Franziskanerstraße 15	   Telefon +49 89 3090 4664
81669 München              Telefax +49 89 3090 4666

Amtsgericht München        Partnerschaftsregister PR 563

Mehr Informationen über die Mailingliste postfix-users