Frage zu SASL...

Previous Topic Next Topic
 
classic Classic list List threaded Threaded
8 messages Options
Reply | Threaded
Open this post in threaded view
|

Frage zu SASL...

Klaus Tachtler
Hallo Liste,

ich frage mich gerade, ob ich SASL-AUTH auf Port 25 überhaupt anbieten  
soll, da clients, welche nicht aus meinen Netzen kommen, nur über  
submission Port 587 einliefern sollen/können/dürfen und eine Server zu  
Server Kommunikation doch gar kein SMTP-AUTH nutzt?

Stehe ich gerade total auf dem Schlauch, oder ist das total abwegig?


Danke schon mal in Voraus und
Grüße Klaus.



--

------------------------------------------
e-Mail  : [hidden email]
Homepage: http://www.tachtler.net
DokuWiki: http://www.dokuwiki.tachtler.net
------------------------------------------

Reply | Threaded
Open this post in threaded view
|

Re: Frage zu SASL...

Gregor Hermens
Hallo Klaus,

Am Donnerstag, 27. August 2015 schrieb Klaus Tachtler:
> ich frage mich gerade, ob ich SASL-AUTH auf Port 25 überhaupt anbieten
> soll, da clients, welche nicht aus meinen Netzen kommen, nur über
> submission Port 587 einliefern sollen/können/dürfen und eine Server zu
> Server Kommunikation doch gar kein SMTP-AUTH nutzt?
>
> Stehe ich gerade total auf dem Schlauch, oder ist das total abwegig?

wenn du alle User dazu bringen kannst, Port 587 zu nutzen, kannst und solltest
du SMTP-Auth für Port 25 problemlos abschalten,

Gruß,
Gregor
--
     @mazing           fon +49 8142 6528665
  Gregor Hermens       fax +49 8142 6528669
Brucker Strasse 12  [hidden email]
D-82216 Gernlinden    http://www.a-mazing.de/
Reply | Threaded
Open this post in threaded view
|

AW: Frage zu SASL...

Uwe Drießen
In reply to this post by Klaus Tachtler
Im Auftrag von Klaus Tachtler
> ich frage mich gerade, ob ich SASL-AUTH auf Port 25 überhaupt anbieten

Nö eigentlich nicht weil da geht doch keiner mehr drüber bzw. es lässt auch keiner mehr zu
587, 465, 995 .... das sind die Alternativen z.T.  mit TLS und SSL gesicherten ports

da drüber soll nichts von den eigenen Usern kommen
seit 2 Jahren hier schon umgestellt und auch extra DNS / IP für die eigenen User angelegt
 

> soll, da clients, welche nicht aus meinen Netzen kommen, nur über
> submission Port 587 einliefern sollen/können/dürfen und eine Server zu
> Server Kommunikation doch gar kein SMTP-AUTH nutzt?

Das geht auch aber dann über die alternativen Ports (Server wird dann zum Client)

>
> Stehe ich gerade total auf dem Schlauch, oder ist das total abwegig?
>
>
> Danke schon mal in Voraus und
> Grüße Klaus.
>


Mit freundlichen Grüßen

Uwe Drießen
--
Software & Computer

Netzwerke, Server.
Wir vernetzen Sie und Ihre Rechner !

Uwe Drießen
Lembergstraße 33
67824 Feilbingert

Tel.: 06708660045


Reply | Threaded
Open this post in threaded view
|

Re: Frage zu SASL...

Klaus Tachtler
In reply to this post by Klaus Tachtler
Hallo Liste,

> ich frage mich gerade, ob ich SASL-AUTH auf Port 25 überhaupt  
> anbieten soll, da clients, welche nicht aus meinen Netzen kommen,  
> nur über submission Port 587 einliefern sollen/können/dürfen und  
> eine Server zu Server Kommunikation doch gar kein SMTP-AUTH nutzt?

wie sollte das dann in Postfix konfiguriert werden, bzw. was ist da  
"good practise"?

Wie sieht es z.B. mit den smptd_relay_restrictions und  
smtpd_recipient_restrictions aus, diese dann
auch entsprechend in der /etc/postfix/master.cf angepasst, jeweils  
extra für smtp und submission?

Oder in der /etc/postfix/main.cf die smptd_relay_restrictions und  
smtpd_recipient_restrictions mit z.B.
permit_sasl_authenticated generell, da permit_sasl_authenticated ja  
nur dann greift, wenn auf dem Port auch SMTP-AUTH möglich ist?

Vielen Dank, schon mal für die Rückmeldungen!


Grüße
Klaus.




--

------------------------------------------
e-Mail  : [hidden email]
Homepage: http://www.tachtler.net
DokuWiki: http://www.dokuwiki.tachtler.net
------------------------------------------

Reply | Threaded
Open this post in threaded view
|

Re: Frage zu SASL...

Patrick Ben Koetter-2
In reply to this post by Klaus Tachtler
* Klaus Tachtler <[hidden email]>:
> ich frage mich gerade, ob ich SASL-AUTH auf Port 25 überhaupt
> anbieten soll, da clients, welche nicht aus meinen Netzen kommen,
> nur über submission Port 587 einliefern sollen/können/dürfen und
> eine Server zu Server Kommunikation doch gar kein SMTP-AUTH nutzt?
>
> Stehe ich gerade total auf dem Schlauch, oder ist das total abwegig?

Ich finde das schlüssig zu Ende gedacht. Wenn Du keine Altlasten supporten
musst - User, die noch nicht auf 587 umgestellt haben - dann schalte SMTP AUTH
auf Port 25 ab.

p@rick

--
[*] sys4 AG
 
https://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
 
Reply | Threaded
Open this post in threaded view
|

Re: Frage zu SASL...

Andreas Schulze
Am 27.08.2015 11:50 schrieb Patrick Ben Koetter:
> Ich finde das schlüssig zu Ende gedacht. Wenn Du keine Altlasten supporten
> musst - User, die noch nicht auf 587 umgestellt haben - dann schalte SMTP AUTH
> auf Port 25 ab.


das macht auch die Konfiguration sauberer:

Port 25
 - inbound / MX Traffic
 - von anonymen, externen, untrusted clients, STARTTLS opportunistisch

Port 587
 - outbound, von eigenen Usern
 - Authentisierung nur nach STARTTLS
 - Mailtransport nur nach Authentisierung

Wenn man das auch noch auf unterschiedliche DNS-Namen mappt,
kann man bei bedarf auch noch 2 verschiedene Server draus machen.

--
Andreas Schulze
Internetdienste | P252

DATEV eG
90329 Nürnberg | Telefon +49 911 319-0 | Telefax +49 911 319-3196
E-Mail [hidden email] | Internet www.datev.de
Sitz: 90429 Nürnberg, Paumgartnerstr. 6-14 | Registergericht Nürnberg, GenReg Nr.70

Vorstand
Prof. Dieter Kempf (Vorsitzender)
Dr. Robert Mayr (stellv. Vorsitzender)
Eckhard Schwarzer (stellv. Vorsitzender)
Dr. Peter Krug
Jörg Rabe von Pappenheim

Vorsitzender des Aufsichtsrates: Dirk Schmale
Reply | Threaded
Open this post in threaded view
|

Re: Frage zu SASL...

Django [BOfH]
In reply to this post by Klaus Tachtler
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

HI!

Am 27.08.2015 um 11:35 schrieb Klaus Tachtler:

> wie sollte das dann in Postfix konfiguriert werden, bzw. was ist
> da "good practise"?

Mogsd a Schein? ;)

> Vielen Dank, schon mal für die Rückmeldungen!

Biddsche!


Servus
Django
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2
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=1grI
-----END PGP SIGNATURE-----
Reply | Threaded
Open this post in threaded view
|

Re: Frage zu SASL...

Klaus Tachtler
Hallo Django,

> HI!
>
> Am 27.08.2015 um 11:35 schrieb Klaus Tachtler:
>
>> wie sollte das dann in Postfix konfiguriert werden, bzw. was ist
>> da "good practise"?
>
> Mogsd a Schein? ;)

geht's auch ein bisschen konstruktiver, Herr Kollege!

>
>> Vielen Dank, schon mal für die Rückmeldungen!
>
> Biddsche!
>

Vielen Dank - erschöpfend wie immer ;-)

>
> Servus
> Django

p.s. - Beantworte mal meine letzte e-Mail, DANKE!


Grüße
Klaus.




--

------------------------------------------
e-Mail  : [hidden email]
Homepage: http://www.tachtler.net
DokuWiki: http://www.dokuwiki.tachtler.net
------------------------------------------