postfix/dovecot: SASL Auth in SMTP für alle EMails (telnet)

classic Classic list List threaded Threaded
38 messages Options
12
Reply | Threaded
Open this post in threaded view
|

postfix/dovecot: SASL Auth in SMTP für alle EMails (telnet)

christoph.machon
Hallo Liste,

ich nutze ein aktuelles FreeBSD mit postfix und dovecot (IMAP/SASL).
Alles funktioniert wunderbar, bis auf die Tatsache das ich per Telnet
ohne eine Auth.Emails an meine Domains (intern) senden kann. (Relay ist
nicht offen).

Wie schaut so eine main.cf aus, die das verbittet? Habe bisher keinen
funktionierenden Ansatz gefunden :(

Mit freundlichen Grüßen

--
Christoph Machon <[hidden email]>
Reply | Threaded
Open this post in threaded view
|

Re: postfix/dovecot: SASL Auth in SMTP für alle EMails (telnet)

Peter Buettner
.... telnet xyz 25 oder telnet xyz 587 ?


Gruß

Peter Büttner
Am 07.09.2015 um 14:42 schrieb [hidden email]:

> Hallo Liste,
>
> ich nutze ein aktuelles FreeBSD mit postfix und dovecot (IMAP/SASL).
> Alles funktioniert wunderbar, bis auf die Tatsache das ich per Telnet
> ohne eine Auth.Emails an meine Domains (intern) senden kann. (Relay ist
> nicht offen).
>
> Wie schaut so eine main.cf aus, die das verbittet? Habe bisher keinen
> funktionierenden Ansatz gefunden :(
>
> Mit freundlichen Grüßen
>
Reply | Threaded
Open this post in threaded view
|

Re: postfix/dovecot: SASL Auth in SMTP für alle EMails (telnet)

Kai Fürstenberg
In reply to this post by christoph.machon
Hallo Christoph,

Am 07.09.2015 um 14:42 schrieb [hidden email]:
> ich nutze ein aktuelles FreeBSD mit postfix und dovecot (IMAP/SASL).
> Alles funktioniert wunderbar, bis auf die Tatsache das ich per Telnet
> ohne eine Auth.Emails an meine Domains (intern) senden kann. (Relay ist
> nicht offen).
>
> Wie schaut so eine main.cf aus, die das verbittet? Habe bisher keinen
> funktionierenden Ansatz gefunden :(

ich frage mich gerade wieso du E-mails an dich selbst nur per AUTH
zustellen lassen möchtest. Wenn du Mails an Fremde verschickst, kann ich
das verstehen, aber an dich selbst?

Wenn eine E-Mail an mich kommt, nehme ich sie an. Punkt.

Na gut: .. unter Umständen nehme ich sie auch nicht an, aber das ist
eine andere Sache.

Oder hab ich da was falsch verstanden?


--
Kai Fürstenberg

PM an: kai at fuerstenberg punkt ws

Reply | Threaded
Open this post in threaded view
|

Re: postfix/dovecot: SASL Auth in SMTP für alle EMails (telnet)

christoph.machon
In reply to this post by christoph.machon
@Peter
sowohl als auch. Das Problem tritt bei mir auf Port 25 und 587 auf.

@Kai
da hast du mich etwas missverstanden. Stell dir folgendes vor:
Du bist Admin im grossen Konzern. Ein Angreifer sendet eine EMail von
[hidden email] mit Virus etc. an
[hidden email] .
Ich finde das sehr uncool.

Auch SPAM lassen sich so innerhalb der Domain versenden.

Ich möchte das, wenn ich mich per Telnet oder openssl s_client auf dem
smtp einlogge, ich nach einer Auth. gefragt werde, auch wenn ich
innerhalb meiner Domain eine Email versende.

Ich hoffe ich habe das Problem nun etwas verständlicher beschrieben.
Wer mir nicht glauben will, bittet testet es an euren EMail Servern.

Mit freundlichen Grüßen
--
Christoph Machon <[hidden email]>
Reply | Threaded
Open this post in threaded view
|

Re: postfix/dovecot: SASL Auth in SMTP für alle EMails (telnet)

Kai Fürstenberg
Am 07.09.2015 um 15:32 schrieb [hidden email]:

> @Peter
> sowohl als auch. Das Problem tritt bei mir auf Port 25 und 587 auf.
>
> @Kai
> da hast du mich etwas missverstanden. Stell dir folgendes vor:
> Du bist Admin im grossen Konzern. Ein Angreifer sendet eine EMail von
> [hidden email] mit Virus etc. an
> [hidden email] .
> Ich finde das sehr uncool.
>
> Auch SPAM lassen sich so innerhalb der Domain versenden.
>
> Ich möchte das, wenn ich mich per Telnet oder openssl s_client auf dem
> smtp einlogge, ich nach einer Auth. gefragt werde, auch wenn ich
> innerhalb meiner Domain eine Email versende.
>
> Ich hoffe ich habe das Problem nun etwas verständlicher beschrieben.
> Wer mir nicht glauben will, bittet testet es an euren EMail Servern.

du könntest mit reject_sender_login_mismatch oder
reject_unauthenticated_sender_login_mismatch in den
smtpd_recipient_restrictions ausschließen, dass jemand vorgibt von dir
zu sein, ohne dass er eingeloggt oder korrekt eingeloggt ist.

--
Kai Fürstenberg

PM an: kai at fuerstenberg punkt ws

Reply | Threaded
Open this post in threaded view
|

Re: postfix/dovecot: SASL Auth in SMTP für alle EMails (telnet)

christoph.machon
Am Montag, den 07.09.2015, 15:42 +0200 schrieb Kai Fürstenberg:

> Am 07.09.2015 um 15:32 schrieb [hidden email]:
> > @Peter
> > sowohl als auch. Das Problem tritt bei mir auf Port 25 und 587 auf.
> >
> > @Kai
> > da hast du mich etwas missverstanden. Stell dir folgendes vor:
> > Du bist Admin im grossen Konzern. Ein Angreifer sendet eine EMail von
> > [hidden email] mit Virus etc. an
> > [hidden email] .
> > Ich finde das sehr uncool.
> >
> > Auch SPAM lassen sich so innerhalb der Domain versenden.
> >
> > Ich möchte das, wenn ich mich per Telnet oder openssl s_client auf dem
> > smtp einlogge, ich nach einer Auth. gefragt werde, auch wenn ich
> > innerhalb meiner Domain eine Email versende.
> >
> > Ich hoffe ich habe das Problem nun etwas verständlicher beschrieben.
> > Wer mir nicht glauben will, bittet testet es an euren EMail Servern.
>
> du könntest mit reject_sender_login_mismatch oder
> reject_unauthenticated_sender_login_mismatch in den
> smtpd_recipient_restrictions ausschließen, dass jemand vorgibt von dir
> zu sein, ohne dass er eingeloggt oder korrekt eingeloggt ist.
>
das klingt interessant. Danke. Ich werde es testen und mich melden, ob
das ganze auf funktioniert hat :)

--
Mit freundlichen Grüßen


Christoph Machon
IT-Administrator
----------------------------------
Verzinkerei Rentrop GmbH

Ebbetalstrasse 26
58840 Plettenberg

Postfach 6006
58831 Plettenberg


Telefon 0 23 91 / 97 87 -53
Telefax 0 23 91 / 7 06 33


[hidden email]
www.verzinkerei-rentrop.de


HRB-Nr. 2854, Amtsgericht Iserlohn
GF: Dr.-Ing. Ina Etzler-Rentrop, Dipl.-Ing. Manfred Rosendahl

Diese E-Mail enthält vertrauliche und/oder rechtlich geschützte
Informationen. Wenn Sie nicht der richtige Adressat sind oder diese
E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den
Absender und vernichten Sie diese E-Mail. Das unerlaubte Kopieren sowie
die unbefugte Weitergabe dieser E-Mail ist nicht gestattet.

This e-mail may contain confidential and/or privileged information. If
you are not the intended recipient (or have received this e-mail in
error) please notify the sender immediately and destroy this e-mail. Any
unauthorized copying, disclosure or distribution of the material in this
e-mail is strictly forbidden.

Reply | Threaded
Open this post in threaded view
|

Re: postfix/dovecot: SASL Auth in SMTP für alle EMails (telnet)

Paul-2
In reply to this post by christoph.machon
Am 07.09.2015 um 15:32 schrieb [hidden email]:
> @Peter
> sowohl als auch. Das Problem tritt bei mir auf Port 25 und 587 auf.

Peters Frage zielt darauf ab, dass Postfix am Port 587 idealerweise so
eingerichtet ist, dass dort immer authentifiziert (+ TLS) werden soll.
Kann mann so einrichten, muss man aber nicht. Bei dir ist denn wohl
nicht so.

> @Kai
> da hast du mich etwas missverstanden. Stell dir folgendes vor:
> Du bist Admin im grossen Konzern. Ein Angreifer sendet eine EMail von
> [hidden email] mit Virus etc. an
> [hidden email] .
> Ich finde das sehr uncool.
>
> Auch SPAM lassen sich so innerhalb der Domain versenden.
>
> Ich möchte das, wenn ich mich per Telnet oder openssl s_client auf dem
> smtp einlogge, ich nach einer Auth. gefragt werde, auch wenn ich
> innerhalb meiner Domain eine Email versende.

Zwangsauthentifizierung auf Basis der Clientsoftware (telnet/openssl)
ist mir unbekannt. So verstehe ich jedenfalls deine Frage.

Vermutlich drückst Du dich einfach nur mißverständlich aus und
du willst,
dass SMTP-Verbindungen zu deinem Server,
die dabei deine Domain(s) als Absender angeben,
authentifiziert werden sollen.

In dem Fall stimme ich Kais Empfehlung bzgl *_sender_login_mismatch zu.

> Ich hoffe ich habe das Problem nun etwas verständlicher beschrieben.
> Wer mir nicht glauben will, bittet testet es an euren EMail Servern.

Gruß,
Paul
Reply | Threaded
Open this post in threaded view
|

Re: postfix/dovecot: SASL Auth in SMTP für alle EMails (telnet)

Tobi
In reply to this post by christoph.machon

Am 07.09.2015 um 14:42 schrieb [hidden email]:

> Hallo Liste,
>
> ich nutze ein aktuelles FreeBSD mit postfix und dovecot (IMAP/SASL).
> Alles funktioniert wunderbar, bis auf die Tatsache das ich per Telnet
> ohne eine Auth.Emails an meine Domains (intern) senden kann. (Relay ist
> nicht offen).
>
> Wie schaut so eine main.cf aus, die das verbittet? Habe bisher keinen
> funktionierenden Ansatz gefunden :(
>
> Mit freundlichen Grüßen
>
an Port 25 Absenderadressen deiner Domain rundweg verbieten (mittels
smtpd_sender_restrictions) und an Port 587 die Auth erzwingen.
Alternativ könnte man es ev auch so lösen, dass an Port 25 erst
permit_sasl_authenticated und dann ein check_sender_access (die dann
deine Domain(s) als Absender verbietet)


signature.asc (836 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: postfix/dovecot: SASL Auth in SMTP für alle EMails (telnet)

christoph.machon
In reply to this post by Kai Fürstenberg
Guten Morgen,

danke Kai, das ist fast das was ich wollte, nur scheint es halb zu
funktionieren. Meine Domain verlangt eine Authentifizierung, aber dafür
alle anderen ausgedachten nicht. Wie kann ich diese ausschließen?

Versuch auf Port 25:
Connected to mail.meinedomain.org.
Escape character is '^]'.
220 mail.meinedomain.org ESMTP (FreeBSD)
EHLO meinedomain.org
250-meinedomain.org
250-PIPELINING
250-SIZE 50000000
250-VRFY
250-ETRN
250-STARTTLS
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
mail from: [hidden email] (ausgedachte email Adresse)
250 2.1.0 Ok
rcpt to: [hidden email]
250 2.1.5 Ok


Woran kann das liegen?

Hier meine main.cf:

...
smtpd_sender_login_maps =
hash:/usr/local/etc/postfix/controlled_envelope_senders

smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_sasl_security_options = noanonymous
smtpd_sasl_tls_security_options = noanonymous
broken_sasl_auth_clients = yes
smtpd_sasl_local_domain = $myhostname
smtpd_sasl_auth_enable = yes

smtpd_client_restrictions =     permit_mynetworks,
                                permit_sasl_authenticated,
                                reject_unknown_hostname,
                                reject_rbl_client zen.spamhaus.org,
                                reject_rbl_client bl.spamcop.net,
                                reject_rbl_client cbl.abuseat.org
smtpd_delay_reject = yes
smtpd_helo_required = yes
smtpd_helo_restrictions =       permit_mynetworks,
##                              reject_non_fqdn_helo_hostname,
                                reject_invalid_helo_hostname
smtpd_sender_restrictions =     permit_mynetworks,
                                permit_sasl_authenticated,
                                reject_unknown_address,
                                reject_non_fqdn_sender,
                                reject_unknown_sender_domain
smtpd_relay_restrictions =      permit_mynetworks,
                                permit_sasl_authenticated,
                                reject_unauth_destination
smtpd_recipient_restrictions =  permit_mynetworks,
                                reject_sender_login_mismatch,

#reject_unauthenticated_sender_login_mismatch,
                                permit_sasl_authenticated,
                                reject_unauth_destination,
                                reject_rbl_client zen.spamhaus.org,
                                reject_rhsbl_reverse_client
dbl.spamhaus.org,
                                reject_rhsbl_helo dbl.spamhaus.org,
                                reject_rhsbl_sender dbl.spamhaus.org
...


Die controlled_envelope_senders:
# envelope sender       owners (SASL login names)
@domaineins.org          [hidden email]
@domainzwei.org             [hidden email], [hidden email]
@domaindrei.de              [hidden email]



Am Montag, den 07.09.2015, 15:42 +0200 schrieb Kai Fürstenberg:

> Am 07.09.2015 um 15:32 schrieb [hidden email]:
> > @Peter
> > sowohl als auch. Das Problem tritt bei mir auf Port 25 und 587 auf.
> >
> > @Kai
> > da hast du mich etwas missverstanden. Stell dir folgendes vor:
> > Du bist Admin im grossen Konzern. Ein Angreifer sendet eine EMail von
> > [hidden email] mit Virus etc. an
> > [hidden email] .
> > Ich finde das sehr uncool.
> >
> > Auch SPAM lassen sich so innerhalb der Domain versenden.
> >
> > Ich möchte das, wenn ich mich per Telnet oder openssl s_client auf dem
> > smtp einlogge, ich nach einer Auth. gefragt werde, auch wenn ich
> > innerhalb meiner Domain eine Email versende.
> >
> > Ich hoffe ich habe das Problem nun etwas verständlicher beschrieben.
> > Wer mir nicht glauben will, bittet testet es an euren EMail Servern.
>
> du könntest mit reject_sender_login_mismatch oder
> reject_unauthenticated_sender_login_mismatch in den
> smtpd_recipient_restrictions ausschließen, dass jemand vorgibt von dir
> zu sein, ohne dass er eingeloggt oder korrekt eingeloggt ist.
>

--
Christoph Machon <[hidden email]>
Reply | Threaded
Open this post in threaded view
|

Re: postfix/dovecot: SASL Auth in SMTP für alle EMails (telnet)

christoph.machon
In reply to this post by Tobi
Guten Morgen Tobi,

wie sieht der Eintrag in der smtpd_sender_restrictions dafür aus?


Am Montag, den 07.09.2015, 16:41 +0200 schrieb Tobi:

> Am 07.09.2015 um 14:42 schrieb [hidden email]:
> > Hallo Liste,
> >
> > ich nutze ein aktuelles FreeBSD mit postfix und dovecot (IMAP/SASL).
> > Alles funktioniert wunderbar, bis auf die Tatsache das ich per Telnet
> > ohne eine Auth.Emails an meine Domains (intern) senden kann. (Relay ist
> > nicht offen).
> >
> > Wie schaut so eine main.cf aus, die das verbittet? Habe bisher keinen
> > funktionierenden Ansatz gefunden :(
> >
> > Mit freundlichen Grüßen
> >
>
> an Port 25 Absenderadressen deiner Domain rundweg verbieten (mittels
> smtpd_sender_restrictions) und an Port 587 die Auth erzwingen.
> Alternativ könnte man es ev auch so lösen, dass an Port 25 erst
> permit_sasl_authenticated und dann ein check_sender_access (die dann
> deine Domain(s) als Absender verbietet)
>

--
Mit freundlichen Grüßen


Christoph Machon
IT-Administrator
----------------------------------
Verzinkerei Rentrop GmbH

Ebbetalstrasse 26
58840 Plettenberg

Postfach 6006
58831 Plettenberg


Telefon 0 23 91 / 97 87 -53
Telefax 0 23 91 / 7 06 33


[hidden email]
www.verzinkerei-rentrop.de


HRB-Nr. 2854, Amtsgericht Iserlohn
GF: Dr.-Ing. Ina Etzler-Rentrop, Dipl.-Ing. Manfred Rosendahl

Diese E-Mail enthält vertrauliche und/oder rechtlich geschützte
Informationen. Wenn Sie nicht der richtige Adressat sind oder diese
E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den
Absender und vernichten Sie diese E-Mail. Das unerlaubte Kopieren sowie
die unbefugte Weitergabe dieser E-Mail ist nicht gestattet.

This e-mail may contain confidential and/or privileged information. If
you are not the intended recipient (or have received this e-mail in
error) please notify the sender immediately and destroy this e-mail. Any
unauthorized copying, disclosure or distribution of the material in this
e-mail is strictly forbidden.

Reply | Threaded
Open this post in threaded view
|

Re: postfix/dovecot: SASL Auth in SMTP für alle EMails (telnet)

christoph.machon
In reply to this post by christoph.machon
Guten Morgen Andreas,

in mynetworks habe ich nur die localhost stehen.
Mit der Reihenfolge permit_mynetworks etc. habe ich schon gespielt.
Leider ohne irgendwelche Auswirkungen auf die Auth.

Am Dienstag, den 08.09.2015, 03:27 +0300 schrieb Andreas Tauscher:

> On 09/07/2015 03:42 PM, [hidden email] wrote:
> > Hallo Liste,
> >
> > ich nutze ein aktuelles FreeBSD mit postfix und dovecot (IMAP/SASL).
> > Alles funktioniert wunderbar, bis auf die Tatsache das ich per Telnet
> > ohne eine Auth.Emails an meine Domains (intern) senden kann. (Relay ist
> > nicht offen).
> >
> > Wie schaut so eine main.cf aus, die das verbittet? Habe bisher keinen
> > funktionierenden Ansatz gefunden :(
>
> Wie sieht denn mynetworks aus?
> sicherlich etwa so:
>
> mynetworks = 127.0.0.0/8 internes-netz/maske
>
> und wenn dann kommt doch in smtpd_recipient_restrictions mit Sicherheit
> permit_mynetworks vor permit_sasl_authenticated?
>
> Damit sagst Du postfix ganz eindeutig: Alles was aus $mynetworks kommt
> ist auch ohne auth OK.
>
> Also: Aus mynetworks rausnehmen was da nicht sein muß. Ist dann also auf
> 127.0.0.0/8 reduziert. Falls Du Server o.ä. hast was sich nicht
> authentifizieren kann oder will: Einzeln in mynetworks aufnehmen und
> permit_mynetworks kommt irgendwo gaaaaaaanz weit hinten in
> smtpd_recipient_restrictions. permit_sasl_authenticated kommt schon
> ziemlich am Anfang.
> Port 25 ist für Clients verboten. Die müssen submission benutzen.
> Ansonsten verschenkt man sich viele Möglichkeiten mit amavis policy banks.
> *_sender_login_mismatch ist natürlich zusätzlich keine schlechte Idee.
> Für wichtige/kritische mailadressen dann noch eingene DKIM Signaturen,
> die auch intern strikt geprüft werden.
> Eigentlich alles intern genauso strikt prüfen als wenn es von extern
> wäre. Ausnahme: RBLs abfragen ist im LAN natürlich etwas sinnfrei.
>
>
> Andi
>

--
Mit freundlichen Grüßen


Christoph Machon
IT-Administrator
----------------------------------
Verzinkerei Rentrop GmbH

Ebbetalstrasse 26
58840 Plettenberg

Postfach 6006
58831 Plettenberg


Telefon 0 23 91 / 97 87 -53
Telefax 0 23 91 / 7 06 33


[hidden email]
www.verzinkerei-rentrop.de


HRB-Nr. 2854, Amtsgericht Iserlohn
GF: Dr.-Ing. Ina Etzler-Rentrop, Dipl.-Ing. Manfred Rosendahl

Diese E-Mail enthält vertrauliche und/oder rechtlich geschützte
Informationen. Wenn Sie nicht der richtige Adressat sind oder diese
E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den
Absender und vernichten Sie diese E-Mail. Das unerlaubte Kopieren sowie
die unbefugte Weitergabe dieser E-Mail ist nicht gestattet.

This e-mail may contain confidential and/or privileged information. If
you are not the intended recipient (or have received this e-mail in
error) please notify the sender immediately and destroy this e-mail. Any
unauthorized copying, disclosure or distribution of the material in this
e-mail is strictly forbidden.

Reply | Threaded
Open this post in threaded view
|

Re: postfix/dovecot: SASL Auth in SMTP für alle EMails (telnet)

Olaf Zaplinski
Ich hatte das Problem etwas anders gelöst:

smtpd_recipient_restrictions =
         permit_mynetworks
         permit_sasl_authenticated
         check_client_access cidr:$config_directory/blocked_clients.cidr
         check_client_access
regexp:$config_directory/blocked_clients.regexp
         check_client_access regexp:$config_directory/greylisted.regexp
         check_sender_access
regexp:$config_directory/blocked_sender.regexp

... und in blocked_sender.regexp dann z.B.

/@zaplinski\.de/        REJECT you are not zaplinski.de

Olaf
Reply | Threaded
Open this post in threaded view
|

Re: postfix/dovecot: SASL Auth in SMTP für alle EMails (telnet)

Christian Schmidt
In reply to this post by christoph.machon
On 08.09.2015 10:13, [hidden email] wrote:

> danke Kai, das ist fast das was ich wollte, nur scheint es halb zu
> funktionieren. Meine Domain verlangt eine Authentifizierung, aber dafür
> alle anderen ausgedachten nicht. Wie kann ich diese ausschließen?
>
> Versuch auf Port 25:
> Connected to mail.meinedomain.org.
> Escape character is '^]'.
> 220 mail.meinedomain.org ESMTP (FreeBSD)
> EHLO meinedomain.org
> 250-meinedomain.org
> 250-PIPELINING
> 250-SIZE 50000000
> 250-VRFY
> 250-ETRN
> 250-STARTTLS
> 250-ENHANCEDSTATUSCODES
> 250-8BITMIME
> 250 DSN
> mail from: [hidden email] (ausgedachte email Adresse)
> 250 2.1.0 Ok
> rcpt to: [hidden email]
> 250 2.1.5 Ok
>
> Woran kann das liegen?
Ist Dein Mailserver "final destination" für "domaindrei.de"?
Oder anders formuliert: Ist "domaindrei.de" als lokale Domain definiert,
für die er Mails *ANNEHMEN* (NICHT relayen) soll?

Mit freundlichen Grüßen
Christian Schmidt

--
No signature available.


smime.p7s (7K) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: postfix/dovecot: SASL Auth in SMTP für alle EMails (telnet)

christoph.machon
Ich hoffe ich habe dich richtig verstanden.
Also der Server läuft unter domainzwei.org. domaindrei.de ist eine von
drei domains auf dem paar user liegen.

Am Dienstag, den 08.09.2015, 10:46 +0200 schrieb Christian Schmidt:

> On 08.09.2015 10:13, [hidden email] wrote:
> > danke Kai, das ist fast das was ich wollte, nur scheint es halb zu
> > funktionieren. Meine Domain verlangt eine Authentifizierung, aber dafür
> > alle anderen ausgedachten nicht. Wie kann ich diese ausschließen?
> >
> > Versuch auf Port 25:
> > Connected to mail.meinedomain.org.
> > Escape character is '^]'.
> > 220 mail.meinedomain.org ESMTP (FreeBSD)
> > EHLO meinedomain.org
> > 250-meinedomain.org
> > 250-PIPELINING
> > 250-SIZE 50000000
> > 250-VRFY
> > 250-ETRN
> > 250-STARTTLS
> > 250-ENHANCEDSTATUSCODES
> > 250-8BITMIME
> > 250 DSN
> > mail from: [hidden email] (ausgedachte email Adresse)
> > 250 2.1.0 Ok
> > rcpt to: [hidden email]
> > 250 2.1.5 Ok
> >
> > Woran kann das liegen?
>
> Ist Dein Mailserver "final destination" für "domaindrei.de"?
> Oder anders formuliert: Ist "domaindrei.de" als lokale Domain definiert,
> für die er Mails *ANNEHMEN* (NICHT relayen) soll?
>
> Mit freundlichen Grüßen
> Christian Schmidt
>

--
Christoph Machon <[hidden email]>
Reply | Threaded
Open this post in threaded view
|

Re: postfix/dovecot: SASL Auth in SMTP für alle EMails (telnet)

Christian Schmidt
On 08.09.2015 10:56, [hidden email] wrote:
> Ich hoffe ich habe dich richtig verstanden.
> Also der Server läuft unter domainzwei.org. domaindrei.de ist eine von
> drei domains auf dem paar user liegen.

Es wäre nett, wenn Du auf dieser Mailingliste auf TOFU ("Text oben,
Fullquote unten") verzichten könntest.

Mails an ...@domain(eins|zwei|drei).org soll Deine Maschine also
*annehmen* und lokal zustellen. Es wäre etwas kontraproduktiv, dafür von
anderen (Servern) eine Authentifizierung zu verlangen.

Mit freundlichen Grüßen
Christian Schmidt

--
No signature available.


smime.p7s (7K) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: postfix/dovecot: SASL Auth in SMTP für alle EMails (telnet)

christoph.machon
Am Dienstag, den 08.09.2015, 11:23 +0200 schrieb Christian Schmidt:

> On 08.09.2015 10:56, [hidden email] wrote:
> > Ich hoffe ich habe dich richtig verstanden.
> > Also der Server läuft unter domainzwei.org. domaindrei.de ist eine von
> > drei domains auf dem paar user liegen.
>
> Es wäre nett, wenn Du auf dieser Mailingliste auf TOFU ("Text oben,
> Fullquote unten") verzichten könntest.
>
> Mails an ...@domain(eins|zwei|drei).org soll Deine Maschine also
> *annehmen* und lokal zustellen. Es wäre etwas kontraproduktiv, dafür von
> anderen (Servern) eine Authentifizierung zu verlangen.
>
> Mit freundlichen Grüßen
> Christian Schmidt
>
Hallo Christian,

da hast du etwas missverstanden. Ich möchte nur verhindern, das jemand
per telnet von meinem SMTP unautorisiert emails an @domain(eins|zwei|
drei) versendet. Sprich auf von "ausgedachten" EMail Adressen.

Die Auth. greift wenn ich von @domaineins auf zb. @domaindrei per telnet
versenden will. Wenn ich aber @fantasiedomain.de auf zb @domaineins
sende will, dann greif die Regel nicht mehr.

Und das ist eben das schlimme.

--
Mit freundlichen Grüßen


Christoph Machon
IT-Administrator
----------------------------------
Verzinkerei Rentrop GmbH

Ebbetalstrasse 26
58840 Plettenberg

Postfach 6006
58831 Plettenberg


Telefon 0 23 91 / 97 87 -53
Telefax 0 23 91 / 7 06 33


[hidden email]
www.verzinkerei-rentrop.de


HRB-Nr. 2854, Amtsgericht Iserlohn
GF: Dr.-Ing. Ina Etzler-Rentrop, Dipl.-Ing. Manfred Rosendahl

Diese E-Mail enthält vertrauliche und/oder rechtlich geschützte
Informationen. Wenn Sie nicht der richtige Adressat sind oder diese
E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den
Absender und vernichten Sie diese E-Mail. Das unerlaubte Kopieren sowie
die unbefugte Weitergabe dieser E-Mail ist nicht gestattet.

This e-mail may contain confidential and/or privileged information. If
you are not the intended recipient (or have received this e-mail in
error) please notify the sender immediately and destroy this e-mail. Any
unauthorized copying, disclosure or distribution of the material in this
e-mail is strictly forbidden.

Reply | Threaded
Open this post in threaded view
|

Re: postfix/dovecot: SASL Auth in SMTP für alle EMails (telnet)

Winfried Neessen
Hi,

Am 2015-09-08 11:37, schrieb [hidden email]:

>> [TOFU removed]
>>
> da hast du etwas missverstanden. Ich möchte nur verhindern, das jemand
> per telnet von meinem SMTP unautorisiert emails an @domain(eins|zwei|
> drei) versendet. Sprich auf von "ausgedachten" EMail Adressen.
>

Ich verstehe nicht ganz was das mit telnet zu tun hat? Telnet ist
einfach nur
ein Client, der es Dir einfach macht auf bestimmten TCP Port zuzugreifen
und
dort Kommandos abzusetzen. Du kannst auch netcat nutzen oder einfach
einen
TCP Socket oeffnen und dort die Kommandos absetzen (so wie es halt ein
ausliefernder Mailserver auch macht). Das macht alles keinen
Unterschied.

Und was die ausgedachten Adressen angeht, woher willst Du wissen das sie
ausgedacht ist? Ist ist doch voellig valide, dass es
[hidden email]
gibt und das diese zufaelligerweise an Dich eine Mail senden will. Es
macht
absolut keinen Sinn, dass Gmail sich jetzt erstmal authentifizieren
muesste
(mal davon abgesehen, dass sie es garnicht koennten, weil sie nicht
wissen
wie und womit).

Ohne Dir zu Nahe treten zu wollen, aber ich bin mir nicht ganz sicher,
ob Du
das Konzept Mailserver bzw. SMTP komplett richtig verstanden hast.
Vielleicht
solltest Du da nochmal etwas nachforschen und nachlesen.


Winni
Reply | Threaded
Open this post in threaded view
|

Re: postfix/dovecot: SASL Auth in SMTP für alle EMails (telnet)

Kai Fürstenberg
In reply to this post by christoph.machon
Am 08.09.2015 um 11:37 schrieb [hidden email]:
> da hast du etwas missverstanden. Ich möchte nur verhindern, das jemand
> per telnet von meinem SMTP unautorisiert emails an @domain(eins|zwei|
> drei) versendet. Sprich auf von "ausgedachten" EMail Adressen.

da verstehst du aber was falsch:
Wenn ich per Telnet auf Port 25 connecte habe ich die gleiche Verbindung
wie jeder anderer Server oder irgendein anderer Client auch.
Du kannst also nicht per Telnet auf 25 blocken und die Server, die auch
auf 25 kommen, dürfen durch.

Anders sieht die Sache aus, wenn ich mittels SSH per Telnet auf
localhost connecte. Aber auch das ist Port 25.

> Die Auth. greift wenn ich von @domaineins auf zb. @domaindrei per telnet
> versenden will. Wenn ich aber @fantasiedomain.de auf zb @domaineins
> sende will, dann greif die Regel nicht mehr.
>
> Und das ist eben das schlimme.

reject_unauthenticated_sender_login_mismatch, oder alternativ alles, was
nach permit_sasl_authenticated noch kommt und trotzdem vorgibt von dir
zu sein blocken (hast du ja schon gemacht).

--
Kai Fürstenberg

PM an: kai at fuerstenberg punkt ws

Reply | Threaded
Open this post in threaded view
|

Re: postfix/dovecot: SASL Auth in SMTP für alle EMails (telnet)

Alexander Stoll
In reply to this post by christoph.machon
Am 08.09.2015 um 11:37 schrieb [hidden email]:

> Hallo Christian,
>
> da hast du etwas missverstanden. Ich möchte nur verhindern, das jemand
> per telnet von meinem SMTP unautorisiert emails an @domain(eins|zwei|
> drei) versendet. Sprich auf von "ausgedachten" EMail Adressen.
>
> Die Auth. greift wenn ich von @domaineins auf zb. @domaindrei per telnet
> versenden will. Wenn ich aber @fantasiedomain.de auf zb @domaineins
> sende will, dann greif die Regel nicht mehr.
>
> Und das ist eben das schlimme.
Ein kleiner Tipp, wie man den Dialog _etwas_ effizienter machen könnte,
damit nicht 20 mal nachgefragt werden muss und noch immer keiner ein
vollständiges Bild von Deiner Problemstellung hat:

Nimm Dir doch bitte einmal ein paar Minuten Zeit und hack nicht wirr
Teilinformationen in die Liste, lass Telnet weg, völlig unrelevant,
verwende eindeutige Begrifflichkeiten wie Domain und Lokalpart,
klassifiziere die Domains als Final Destination, Relay,
fremd/eigen/nicht im DNS.
Dann klappts sicher auch mit dem Verständnis der Problemstellung und
zielgerichteter Hilfe...


smime.p7s (3K) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: postfix/dovecot: SASL Auth in SMTP für alle EMails (telnet)

Tobi
In reply to this post by christoph.machon
Am 08.09.2015 um 10:13 schrieb [hidden email]:

> Guten Morgen,
>
> danke Kai, das ist fast das was ich wollte, nur scheint es halb zu
> funktionieren. Meine Domain verlangt eine Authentifizierung, aber dafür
> alle anderen ausgedachten nicht. Wie kann ich diese ausschließen?
>
> Versuch auf Port 25:
> Connected to mail.meinedomain.org.
> Escape character is '^]'.
> 220 mail.meinedomain.org ESMTP (FreeBSD)
> EHLO meinedomain.org
> 250-meinedomain.org
> 250-PIPELINING
> 250-SIZE 50000000
> 250-VRFY
> 250-ETRN
> 250-STARTTLS
> 250-ENHANCEDSTATUSCODES
> 250-8BITMIME
> 250 DSN
> mail from: [hidden email] (ausgedachte email Adresse)
> 250 2.1.0 Ok
> rcpt to: [hidden email]
> 250 2.1.5 Ok
>
>
> Woran kann das liegen?
>

willst du denn auf Port 25 keine Mails von extern annehmen? Wenn du die
"anderen" Domains als Sender verbietest, dann nimmst du keine Mails von
extern mehr entgegen und das ist doch kaum in deinem Sinne, oder? Google
kann sich ja nicht bei dir authentifzieren.

12