Quantcast

Postfix erlaubt Nicht vorhandener User senden von Mails

Previous Topic Next Topic
 
classic Classic list List threaded Threaded
11 messages Options
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Postfix erlaubt Nicht vorhandener User senden von Mails

SChani
Hallo, ich habe einen Postfix der für mehrere Domains zuständig ist.

Die zugehörigen User holt er sich über MySQL aus Froxlor Datenbank Tabellen


virtual_mailbox_maps = mysql:/etc/postfix/mysql-virtual_mailbox_maps.cf
virtual_mailbox_domains =
mysql:/etc/postfix/mysql-virtual_mailbox_domains.cf
virtual_alias_maps = mysql:/etc/postfix/mysql-virtual_alias_maps.cf
smtpd_sender_login_maps =
mysql:/etc/postfix/mysql-virtual_sender_permissions.cf

Jetzt ist es mir aber möglich Emails von mit einer Emailadresse zu
versenden deren User es gar nicht gibt. Die Domain ist vorhanden, aber
der User ist nicht angelegt.
Also [hidden email] ist nicht in der Datenbank
vorhanden.

Z.B. könnte man in Roundcube in einem vorhanden Account andere
Identitäten anlegen und über diese "falschen" Emailadressen Mails
versenden. Oder ein PHP Script macht Unsinn und versendet Spam.

Im main.cf habe ich folgendes eingetragen:

smtpd_recipient_restrictions = permit_mynetworks,
         reject_unlisted_sender,
         permit_sasl_authenticated,
         reject_unauth_destination,
         reject_unauth_pipelining,
         reject_non_fqdn_recipient,
         reject_unverified_recipient

smtpd_sender_restrictions = permit_mynetworks,
         reject_unlisted_sender,
         reject_sender_login_mismatch,
         permit_sasl_authenticated,
         reject_unknown_helo_hostname,
         reject_unknown_recipient_domain,
         reject_unknown_sender_domain,
         reject_non_fqdn_sender

smtpd_client_restrictions = permit_mynetworks,
         permit_sasl_authenticated,
         reject_unknown_client_hostname


Was fehlt da noch, was verhindert das unbekannt Adressen nicht versenden
können.

Besten Dank für Hilfe

Christian


smime.p7s (4K) Download Attachment
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Postfix erlaubt Nicht vorhandener User senden von Mails

Winfried Neessen
Hi,

Am 06.01.2017 um 20:01 schrieb SChani <[hidden email]>:

Was fehlt da noch, was verhindert das unbekannt Adressen nicht versenden können.

Das fehlt:

Winni

signature.asc (817 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Postfix erlaubt Nicht vorhandener User senden von Mails

SChani
Das bekommt er auch von der Datenbank

smtpd_sender_login_maps =
mysql:/etc/postfix/mysql-virtual_sender_permissions.cf

Ich hab jetzt noch

smtpd_recipient_restrictions = reject_sender_login_mismatch
mit dazu genommen. Also

smtpd_recipient_restrictions = permit_mynetworks,
         reject_unlisted_sender,
         permit_sasl_authenticated,
         reject_unauth_destination,
         reject_unauth_pipelining,
         reject_non_fqdn_recipient,
         reject_unverified_recipient,
         reject_sender_login_mismatch
smtpd_sender_restrictions = permit_mynetworks,
         reject_unlisted_sender,
         reject_sender_login_mismatch,
         permit_sasl_authenticated,
         reject_unknown_helo_hostname,
         reject_unknown_recipient_domain,
         reject_unknown_sender_domain,
         reject_non_fqdn_sender
smtpd_client_restrictions = permit_mynetworks,
         permit_sasl_authenticated,
         reject_unknown_client_hostname


Aber ich kann noch immer mit einem nicht vorhandenen User senden.

Oder hast Du noch was anderes gemeint?

Christian

Am 06.01.2017 um 20:34 schrieb Winfried Neessen:

> Hi,
>
> Am 06.01.2017 um 20:01 schrieb SChani <[hidden email]
> <mailto:[hidden email]>>:
>
>> Was fehlt da noch, was verhindert das unbekannt Adressen nicht
>> versenden können.
>
> Das fehlt:
> http://www.postfix.org/SASL_README.html#server_sasl_authz_envelope
>
> Winni


smime.p7s (4K) Download Attachment
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

AW: Postfix erlaubt Nicht vorhandener User senden von Mails

Ralf Eichler
Hallo Christian,

Könnte mir noch vorstellen, dass "permit_sasl_authenticated" in den Client-restrictions die sender-restrictions aushebelt.

Hth,
Ralf

-----Ursprüngliche Nachricht-----
Von: Postfixbuch-users [mailto:[hidden email]] Im Auftrag von SChani
Gesendet: Freitag, 6. Januar 2017 21:03
An: Diskussionen und Support rund um Postfix <[hidden email]>
Betreff: Re: Postfix erlaubt Nicht vorhandener User senden von Mails

Das bekommt er auch von der Datenbank

smtpd_sender_login_maps =
mysql:/etc/postfix/mysql-virtual_sender_permissions.cf

Ich hab jetzt noch

smtpd_recipient_restrictions = reject_sender_login_mismatch
mit dazu genommen. Also

smtpd_recipient_restrictions = permit_mynetworks,
         reject_unlisted_sender,
         permit_sasl_authenticated,
         reject_unauth_destination,
         reject_unauth_pipelining,
         reject_non_fqdn_recipient,
         reject_unverified_recipient,
         reject_sender_login_mismatch
smtpd_sender_restrictions = permit_mynetworks,
         reject_unlisted_sender,
         reject_sender_login_mismatch,
         permit_sasl_authenticated,
         reject_unknown_helo_hostname,
         reject_unknown_recipient_domain,
         reject_unknown_sender_domain,
         reject_non_fqdn_sender
smtpd_client_restrictions = permit_mynetworks,
         permit_sasl_authenticated,
         reject_unknown_client_hostname


Aber ich kann noch immer mit einem nicht vorhandenen User senden.

Oder hast Du noch was anderes gemeint?

Christian

Am 06.01.2017 um 20:34 schrieb Winfried Neessen:

> Hi,
>
> Am 06.01.2017 um 20:01 schrieb SChani <[hidden email]
> <mailto:[hidden email]>>:
>
>> Was fehlt da noch, was verhindert das unbekannt Adressen nicht
>> versenden können.
>
> Das fehlt:
> http://www.postfix.org/SASL_README.html#server_sasl_authz_envelope
>
> Winni


smime.p7s (7K) Download Attachment
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Postfix erlaubt Nicht vorhandener User senden von Mails

SChani
Leider hat das auch nicht geholfen.

Jetzt schaut es bei mir so aus:

smtpd_recipient_restrictions = permit_mynetworks,
         reject_unlisted_sender,
         permit_sasl_authenticated,
         reject_unauth_destination,
         reject_unauth_pipelining,
         reject_non_fqdn_recipient,
         reject_unverified_recipient,
         reject_sender_login_mismatch
smtpd_sender_restrictions = permit_mynetworks,
         reject_unlisted_sender,
         reject_sender_login_mismatch,
         permit_sasl_authenticated,
         reject_unknown_helo_hostname,
         reject_unknown_recipient_domain,
         reject_unknown_sender_domain,
         reject_non_fqdn_sender
smtpd_client_restrictions = permit_mynetworks,
         reject_unknown_client_hostname

Noch eine Idee?

Christian

Am 06.01.2017 um 21:05 schrieb Ralf Eichler:

> Hallo Christian,
>
> Könnte mir noch vorstellen, dass "permit_sasl_authenticated" in den Client-restrictions die sender-restrictions aushebelt.
>
> Hth,
> Ralf
>
> -----Ursprüngliche Nachricht-----
> Von: Postfixbuch-users [mailto:[hidden email]] Im Auftrag von SChani
> Gesendet: Freitag, 6. Januar 2017 21:03
> An: Diskussionen und Support rund um Postfix <[hidden email]>
> Betreff: Re: Postfix erlaubt Nicht vorhandener User senden von Mails
>
> Das bekommt er auch von der Datenbank
>
> smtpd_sender_login_maps =
> mysql:/etc/postfix/mysql-virtual_sender_permissions.cf
>
> Ich hab jetzt noch
>
> smtpd_recipient_restrictions = reject_sender_login_mismatch
> mit dazu genommen. Also
>
> smtpd_recipient_restrictions = permit_mynetworks,
>          reject_unlisted_sender,
>          permit_sasl_authenticated,
>          reject_unauth_destination,
>          reject_unauth_pipelining,
>          reject_non_fqdn_recipient,
>          reject_unverified_recipient,
>          reject_sender_login_mismatch
> smtpd_sender_restrictions = permit_mynetworks,
>          reject_unlisted_sender,
>          reject_sender_login_mismatch,
>          permit_sasl_authenticated,
>          reject_unknown_helo_hostname,
>          reject_unknown_recipient_domain,
>          reject_unknown_sender_domain,
>          reject_non_fqdn_sender
> smtpd_client_restrictions = permit_mynetworks,
>          permit_sasl_authenticated,
>          reject_unknown_client_hostname
>
>
> Aber ich kann noch immer mit einem nicht vorhandenen User senden.
>
> Oder hast Du noch was anderes gemeint?
>
> Christian
>
> Am 06.01.2017 um 20:34 schrieb Winfried Neessen:
>> Hi,
>>
>> Am 06.01.2017 um 20:01 schrieb SChani <[hidden email]
>> <mailto:[hidden email]>>:
>>
>>> Was fehlt da noch, was verhindert das unbekannt Adressen nicht
>>> versenden können.
>>
>> Das fehlt:
>> http://www.postfix.org/SASL_README.html#server_sasl_authz_envelope
>>
>> Winni
>


smime.p7s (4K) Download Attachment
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

AW: Postfix erlaubt Nicht vorhandener User senden von Mails

Ralf Eichler
Einen versuch hab ich noch:
Ab Postfix 2.10 enthalten die relay-restrcitions sofern nicht konfiguriert auch noch ein permit_sasl_authenticated und greifen afaik for sender_restrictions. Siehe http://www.postfix.org/SMTPD_ACCESS_README.html

Darüber hinaus bin ich leider ratlos.

Grüße,
Ralf

-----Ursprüngliche Nachricht-----
Von: Postfixbuch-users [mailto:[hidden email]] Im Auftrag von SChani
Gesendet: Freitag, 6. Januar 2017 21:21
An: [hidden email]
Betreff: Re: Postfix erlaubt Nicht vorhandener User senden von Mails

Leider hat das auch nicht geholfen.

Jetzt schaut es bei mir so aus:

smtpd_recipient_restrictions = permit_mynetworks,
         reject_unlisted_sender,
         permit_sasl_authenticated,
         reject_unauth_destination,
         reject_unauth_pipelining,
         reject_non_fqdn_recipient,
         reject_unverified_recipient,
         reject_sender_login_mismatch
smtpd_sender_restrictions = permit_mynetworks,
         reject_unlisted_sender,
         reject_sender_login_mismatch,
         permit_sasl_authenticated,
         reject_unknown_helo_hostname,
         reject_unknown_recipient_domain,
         reject_unknown_sender_domain,
         reject_non_fqdn_sender
smtpd_client_restrictions = permit_mynetworks,
         reject_unknown_client_hostname

Noch eine Idee?

Christian

Am 06.01.2017 um 21:05 schrieb Ralf Eichler:

> Hallo Christian,
>
> Könnte mir noch vorstellen, dass "permit_sasl_authenticated" in den Client-restrictions die sender-restrictions aushebelt.
>
> Hth,
> Ralf
>
> -----Ursprüngliche Nachricht-----
> Von: Postfixbuch-users [mailto:[hidden email]] Im Auftrag von SChani
> Gesendet: Freitag, 6. Januar 2017 21:03
> An: Diskussionen und Support rund um Postfix <[hidden email]>
> Betreff: Re: Postfix erlaubt Nicht vorhandener User senden von Mails
>
> Das bekommt er auch von der Datenbank
>
> smtpd_sender_login_maps =
> mysql:/etc/postfix/mysql-virtual_sender_permissions.cf
>
> Ich hab jetzt noch
>
> smtpd_recipient_restrictions = reject_sender_login_mismatch
> mit dazu genommen. Also
>
> smtpd_recipient_restrictions = permit_mynetworks,
>          reject_unlisted_sender,
>          permit_sasl_authenticated,
>          reject_unauth_destination,
>          reject_unauth_pipelining,
>          reject_non_fqdn_recipient,
>          reject_unverified_recipient,
>          reject_sender_login_mismatch
> smtpd_sender_restrictions = permit_mynetworks,
>          reject_unlisted_sender,
>          reject_sender_login_mismatch,
>          permit_sasl_authenticated,
>          reject_unknown_helo_hostname,
>          reject_unknown_recipient_domain,
>          reject_unknown_sender_domain,
>          reject_non_fqdn_sender
> smtpd_client_restrictions = permit_mynetworks,
>          permit_sasl_authenticated,
>          reject_unknown_client_hostname
>
>
> Aber ich kann noch immer mit einem nicht vorhandenen User senden.
>
> Oder hast Du noch was anderes gemeint?
>
> Christian
>
> Am 06.01.2017 um 20:34 schrieb Winfried Neessen:
>> Hi,
>>
>> Am 06.01.2017 um 20:01 schrieb SChani <[hidden email]
>> <mailto:[hidden email]>>:
>>
>>> Was fehlt da noch, was verhindert das unbekannt Adressen nicht
>>> versenden können.
>>
>> Das fehlt:
>> http://www.postfix.org/SASL_README.html#server_sasl_authz_envelope
>>
>> Winni
>


smime.p7s (7K) Download Attachment
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Postfix erlaubt Nicht vorhandener User senden von Mails

Winfried Neessen
In reply to this post by SChani
Am 06.01.2017 um 21:20 schrieb SChani <[hidden email]>:

> smtpd_recipient_restrictions = permit_mynetworks,
>        reject_unlisted_sender,
>        permit_sasl_authenticated,

Findet denn ueberhaupt eine Authentifizierung via SASL statt oder laeuft das Webmail/PHP Script
evtl. auf einem Host der in „mynetworks“ notiert ist und somit schon beim „permit_mynetwork“
ein „OK“ bekommt?


Winni

signature.asc (817 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Postfix erlaubt Nicht vorhandener User senden von Mails

SChani
Ja, das ist ja mal ne Sache.

Ich hab jetzt die

smtpd_recipient_restrictions = permit_mynetworks

raus genommen und kann nun nicht mehr über eine falsche Adresse senden.

php mail() funktioniert aber noch.

Brauch ich das permit_mynetworks dann überhaupt noch?
Ich möchte den Server so Spam sicher als möglich machen.

Christian

Danke für Eure Hilfe



Am 06.01.2017 um 21:28 schrieb Winfried Neessen:

> Am 06.01.2017 um 21:20 schrieb SChani <[hidden email]>:
>
>> smtpd_recipient_restrictions = permit_mynetworks,
>>        reject_unlisted_sender,
>>        permit_sasl_authenticated,
>
> Findet denn ueberhaupt eine Authentifizierung via SASL statt oder laeuft das Webmail/PHP Script
> evtl. auf einem Host der in „mynetworks“ notiert ist und somit schon beim „permit_mynetwork“
> ein „OK“ bekommt?
>
>
> Winni
>


smime.p7s (4K) Download Attachment
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Postfix erlaubt Nicht vorhandener User senden von Mails

Winfried Neessen
Hi,

Am 06.01.2017 um 21:48 schrieb SChani <[hidden email]>:

> php mail() funktioniert aber noch.
>

PHPs mail() nutzt IIRC standardmaessig /usr/sbin/sendmail und authentifiziert sich
somit auch nicht. Du koenntest aber mail() in der php.ini deaktivieren.

> Brauch ich das permit_mynetworks dann überhaupt noch?
> Ich möchte den Server so Spam sicher als möglich machen.
>

Das kann man so allgemein nicht sagen. Ob Du permit_mynetworks benötigst
kommt auf Deine Systeme und Deine Beduerfnisse fuer das System an.


Winni

signature.asc (817 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Postfix erlaubt Nicht vorhandener User senden von Mails

Kai Fürstenberg
In reply to this post by SChani


Am 06.01.2017 um 21:20 schrieb SChani:

> Leider hat das auch nicht geholfen.
>
> Jetzt schaut es bei mir so aus:
>
> smtpd_recipient_restrictions = permit_mynetworks,
>         reject_unlisted_sender,
>         permit_sasl_authenticated,
>         reject_unauth_destination,
>         reject_unauth_pipelining,
>         reject_non_fqdn_recipient,
>         reject_unverified_recipient,
>         reject_sender_login_mismatch

beachte die Reihenfolge:
reject_sender_login_mismatch muss VOR permit_sasl_authenticated.

> smtpd_sender_restrictions = permit_mynetworks,
>         reject_unlisted_sender,
>         reject_sender_login_mismatch,
>         permit_sasl_authenticated,
>         reject_unknown_helo_hostname,
>         reject_unknown_recipient_domain,
>         reject_unknown_sender_domain,
>         reject_non_fqdn_sender
> smtpd_client_restrictions = permit_mynetworks,
>         reject_unknown_client_hostname

Hast du delay_reject=no gesetzt? Wenn nicht: Warum dann
sender_restrictions? Warum client_restrictions?

Abgesehen davon macht ein Check auf HELO oder RCPT in den sender
restrictions keinen Sinn.


--
Gruß
Kai
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Postfix erlaubt Nicht vorhandener User senden von Mails

SChani
In reply to this post by Winfried Neessen
Naja, wenn ein defektes Script schon mal nicht über
[hidden email] senden kann ist das schon mal ein großer Schritt.

Danke für Eure Hilfe

Christian

Am 06.01.2017 um 21:51 schrieb Winfried Neessen:

> Hi,
>
> Am 06.01.2017 um 21:48 schrieb SChani <[hidden email]>:
>
>> php mail() funktioniert aber noch.
>>
>
> PHPs mail() nutzt IIRC standardmaessig /usr/sbin/sendmail und authentifiziert sich
> somit auch nicht. Du koenntest aber mail() in der php.ini deaktivieren.
>
>> Brauch ich das permit_mynetworks dann überhaupt noch?
>> Ich möchte den Server so Spam sicher als möglich machen.
>>
>
> Das kann man so allgemein nicht sagen. Ob Du permit_mynetworks benötigst
> kommt auf Deine Systeme und Deine Beduerfnisse fuer das System an.
>
>
> Winni
>


smime.p7s (4K) Download Attachment
Loading...