Quantcast

relay-User und reject_sender_login_mismatch

Previous Topic Next Topic
 
classic Classic list List threaded Threaded
6 messages Options
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

relay-User und reject_sender_login_mismatch

Tobias Kirchhofer

Hallo zusammen,

wir haben ein gut funktionierendes postfix/dovecot System, das dem User erlaubt nur mit sasl authentifiziertem Benutzername zu versenden der mit der Absenderadresse im Envelop übereinstimmt. Per smtpd_sender_login_maps konfigurieren wir Ausnahmen.

Nun haben wir einen User relay@domain (der u.a. Ausgaben von Cron-Jobs verteilt aber auch E-Mails aus Websites), der unseren Mailserver von verschiedenen Servern aus als Relay nutzt. Die Systeme haben unterschiedliche Domains und prinzipiell immer wieder neue und andere, so dass wir dem Relay-User gerne gestatten möchten im Namen von allen möglichen Absendern E-Mails zu versenden, um nicht immer nachpflegen zu müssen.

Im Moment haben wir das so gelöst:

smtpd_sender_login_maps.regexp:
/.@..lan|dmz|gast.example.com/ [hidden email]

Wir möchten am liebsten sowas machen, aber das funktioniert nicht:

/^([^@+])(+[^@])?@...$/ [hidden email] # Wildcard mit Extensions

Keiner kann mehr am System E-Mails abliefern :)

Wie würde man so einen universellen Relay-User hinbekommen, ohne auf reject_sender_login_mismatch zu verzichten?

--
Tobias Kirchhofer
[hidden email]


signature.asc (817 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: relay-User und reject_sender_login_mismatch

Alex JOST
Am 23.01.2017 um 19:24 schrieb Tobias Kirchhofer:

> Hallo zusammen,
>
> wir haben ein gut funktionierendes postfix/dovecot System, das dem User erlaubt
> nur mit sasl authentifiziertem Benutzername zu versenden der mit der
> Absenderadresse im Envelop übereinstimmt. Per smtpd_sender_login_maps
> konfigurieren wir Ausnahmen.
>
> Nun haben wir einen User relay@domain (der u.a. Ausgaben von Cron-Jobs verteilt
> aber auch E-Mails aus Websites), der unseren Mailserver von verschiedenen
> Servern aus als Relay nutzt. Die Systeme haben unterschiedliche Domains und
> prinzipiell immer wieder neue und andere, so dass wir dem Relay-User gerne
> gestatten möchten im Namen von allen möglichen Absendern E-Mails zu versenden,
> um nicht immer nachpflegen zu müssen.
>
> Im Moment haben wir das so gelöst:
>
> smtpd_sender_login_maps.regexp:
> /./@./.lan|dmz|gast.example.com/ [hidden email] <mailto:[hidden email]>
>
> Wir möchten am liebsten sowas machen, aber das funktioniert nicht:
>
> /^([^@+]/)(+[^@]/)?@./../$/ [hidden email] <mailto:[hidden email]> #
> Wildcard mit Extensions
>
> Keiner kann mehr am System E-Mails abliefern :)
>
> Wie würde man so einen universellen Relay-User hinbekommen, ohne auf
> reject_sender_login_mismatch zu verzichten?

Am besten wäre wohl Du erstellst eigene 'smtpd_restriction_classes'.

Siehe dazu:
http://www.postfix.org/RESTRICTION_CLASS_README.html

--
Alex JOST
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: relay-User und reject_sender_login_mismatch

Tobias Kirchhofer

Ich komme da irgendwie nicht weiter :)

Momentan ist es so, aber es wirkt nicht:

smtpd_sender_restrictions =
check_sender_access hash:/etc/postfix/maps/check_sender_access,
reject_authenticated_sender_login_mismatch,
permit_mynetworks,
reject_sender_login_mismatch,
permit_sasl_authenticated,
reject_unlisted_sender,
reject_unknown_sender_domain

/etc/postfix/maps/check_sender_access:
[hidden email] relay_wildcard

relay_wildcard =
permit_mynetworks,
permit_sasl_authenticated,
reject_unlisted_sender,
reject_unknown_sender_domain

Wenn ich dann die Einträge in der smtpd_sender_login_user.regexp auskommentiere

/.@..lan|dmz|gast.domain.com/ [hidden email]

/.@.localdomain/ [hidden email]

Offengestanden bin ich etwas lost - könnte mich jemand mal auf die richtige Fährte bringen?

On 23 Jan 2017, at 19:54, Alex JOST wrote:

Am 23.01.2017 um 19:24 schrieb Tobias Kirchhofer:

Hallo zusammen,

wir haben ein gut funktionierendes postfix/dovecot System, das dem User erlaubt
nur mit sasl authentifiziertem Benutzername zu versenden der mit der
Absenderadresse im Envelop übereinstimmt. Per smtpd_sender_login_maps
konfigurieren wir Ausnahmen.

Nun haben wir einen User relay@domain (der u.a. Ausgaben von Cron-Jobs verteilt
aber auch E-Mails aus Websites), der unseren Mailserver von verschiedenen
Servern aus als Relay nutzt. Die Systeme haben unterschiedliche Domains und
prinzipiell immer wieder neue und andere, so dass wir dem Relay-User gerne
gestatten möchten im Namen von allen möglichen Absendern E-Mails zu versenden,
um nicht immer nachpflegen zu müssen.

Im Moment haben wir das so gelöst:

smtpd_sender_login_maps.regexp:
/./@./.lan|dmz|gast.example.com/ [hidden email] [hidden email]

Wir möchten am liebsten sowas machen, aber das funktioniert nicht:

/^([^@+]/)(+[^@]/)?@./../$/ [hidden email] [hidden email] #
Wildcard mit Extensions

Keiner kann mehr am System E-Mails abliefern :)

Wie würde man so einen universellen Relay-User hinbekommen, ohne auf
reject_sender_login_mismatch zu verzichten?

Am besten wäre wohl Du erstellst eigene 'smtpd_restriction_classes'.

Siehe dazu:
http://www.postfix.org/RESTRICTION_CLASS_README.html

--
Alex JOST

--
Tobias Kirchhofer
[hidden email]


signature.asc (817 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: relay-User und reject_sender_login_mismatch

Tobias Kirchhofer
In reply to this post by Alex JOST
Sorry für die falsch formatierte vorige E-Mail.

Für die Dokumentation: wie wir die Aufgabe nun gelöst haben (reject_authenticated_sender_login_mismatch für bestimmte User umgehen):

- Der privilegierte authentifizierte User bekommt per check_sasl_access und smtpd_restriction_classes eigene smtpd_sender_restrictions

smtpd_sender_restrictions =
  check_sasl_access hash:/etc/postfix/maps/sasl_access,
  reject_authenticated_sender_login_mismatch,
  permit_mynetworks,
  reject_sender_login_mismatch,
  permit_sasl_authenticated,
  reject_unlisted_sender,
  reject_unknown_sender_domain

/etc/postfix/maps/sasl_access:
# User die reject_authenticated_sender_login_mismatch umgehen
[hidden email]    permit_relayuser

smtpd_restriction_classes = greylist, permit_relayuser
permit_relayuser =
  permit_mynetworks
  permit_sasl_authenticated
  reject_unlisted_sender
  reject_unknown_sender_domain

Wenn das so passt, dann habe ich smtpd_restriction_classes jetzt verstanden :) Es hing an check_sasl_access (wie gegen den authentifizierten Usernamen prüfen), das fehlte…

Danke fürs zuhören ;)

On 23 Jan 2017, at 19:54, Alex JOST wrote:

> Am 23.01.2017 um 19:24 schrieb Tobias Kirchhofer:
>> Hallo zusammen,
>>
>> wir haben ein gut funktionierendes postfix/dovecot System, das dem User erlaubt
>> nur mit sasl authentifiziertem Benutzername zu versenden der mit der
>> Absenderadresse im Envelop übereinstimmt. Per smtpd_sender_login_maps
>> konfigurieren wir Ausnahmen.
>>
>> Nun haben wir einen User relay@domain (der u.a. Ausgaben von Cron-Jobs verteilt
>> aber auch E-Mails aus Websites), der unseren Mailserver von verschiedenen
>> Servern aus als Relay nutzt. Die Systeme haben unterschiedliche Domains und
>> prinzipiell immer wieder neue und andere, so dass wir dem Relay-User gerne
>> gestatten möchten im Namen von allen möglichen Absendern E-Mails zu versenden,
>> um nicht immer nachpflegen zu müssen.
>>
>> Im Moment haben wir das so gelöst:
>>
>> smtpd_sender_login_maps.regexp:
>> /./@./.lan|dmz|gast.example.com/ [hidden email] <mailto:[hidden email]>
>>
>> Wir möchten am liebsten sowas machen, aber das funktioniert nicht:
>>
>> /^([^@+]/)(+[^@]/)?@./../$/ [hidden email] <mailto:[hidden email]> #
>> Wildcard mit Extensions
>>
>> Keiner kann mehr am System E-Mails abliefern :)
>>
>> Wie würde man so einen universellen Relay-User hinbekommen, ohne auf
>> reject_sender_login_mismatch zu verzichten?
>
> Am besten wäre wohl Du erstellst eigene 'smtpd_restriction_classes'.
>
> Siehe dazu:
> http://www.postfix.org/RESTRICTION_CLASS_README.html
>
> --
> Alex JOST
--
Tobias Kirchhofer
[hidden email]

signature.asc (817 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: relay-User und reject_sender_login_mismatch

Alex JOST
Hallo Tobias,

tut mir leid für die späte Antwort, war leider die letzten Tage außer
Gefecht ...

Am 26.01.2017 um 12:34 schrieb Tobias Kirchhofer:

> Sorry für die falsch formatierte vorige E-Mail.
>
> Für die Dokumentation: wie wir die Aufgabe nun gelöst haben (reject_authenticated_sender_login_mismatch für bestimmte User umgehen):
>
> - Der privilegierte authentifizierte User bekommt per check_sasl_access und smtpd_restriction_classes eigene smtpd_sender_restrictions
>
> smtpd_sender_restrictions =
>   check_sasl_access hash:/etc/postfix/maps/sasl_access,
>   reject_authenticated_sender_login_mismatch,
>   permit_mynetworks,
>   reject_sender_login_mismatch,
>   permit_sasl_authenticated,
>   reject_unlisted_sender,
>   reject_unknown_sender_domain
>
> /etc/postfix/maps/sasl_access:
> # User die reject_authenticated_sender_login_mismatch umgehen
> [hidden email]    permit_relayuser
>
> smtpd_restriction_classes = greylist, permit_relayuser
> permit_relayuser =
>   permit_mynetworks
>   permit_sasl_authenticated
>   reject_unlisted_sender
>   reject_unknown_sender_domain

Wenn Du ohnehin nur bestimmte authentifizierte Benutzer nach
'permit_relayuser' umleitest, dann macht dort alles außer
'permit_sasl_authenticated' keinen Sinn.


In diesem Zusammenhang ist mir jetzt nachträglich auch eine einfachere
Lösung eingefallen. Damit kannst Du Dir die 'smtpd_restriction_classes'
sparen.

# /etc/postfix/maps/sasl_access:
   [hidden email]    permit_sasl_authenticated

--
Alex JOST
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: relay-User und reject_sender_login_mismatch

Tobias Kirchhofer
Prima, danke! Es geht auch immer nochmal einfacher… :)

On 27 Jan 2017, at 12:33, Alex JOST wrote:

> Hallo Tobias,
>
> tut mir leid für die späte Antwort, war leider die letzten Tage außer Gefecht ...
>
> Am 26.01.2017 um 12:34 schrieb Tobias Kirchhofer:
>> Sorry für die falsch formatierte vorige E-Mail.
>>
>> Für die Dokumentation: wie wir die Aufgabe nun gelöst haben (reject_authenticated_sender_login_mismatch für bestimmte User umgehen):
>>
>> - Der privilegierte authentifizierte User bekommt per check_sasl_access und smtpd_restriction_classes eigene smtpd_sender_restrictions
>>
>> smtpd_sender_restrictions =
>>   check_sasl_access hash:/etc/postfix/maps/sasl_access,
>>   reject_authenticated_sender_login_mismatch,
>>   permit_mynetworks,
>>   reject_sender_login_mismatch,
>>   permit_sasl_authenticated,
>>   reject_unlisted_sender,
>>   reject_unknown_sender_domain
>>
>> /etc/postfix/maps/sasl_access:
>> # User die reject_authenticated_sender_login_mismatch umgehen
>> [hidden email]    permit_relayuser
>>
>> smtpd_restriction_classes = greylist, permit_relayuser
>> permit_relayuser =
>>   permit_mynetworks
>>   permit_sasl_authenticated
>>   reject_unlisted_sender
>>   reject_unknown_sender_domain
>
> Wenn Du ohnehin nur bestimmte authentifizierte Benutzer nach 'permit_relayuser' umleitest, dann macht dort alles außer 'permit_sasl_authenticated' keinen Sinn.
>
>
> In diesem Zusammenhang ist mir jetzt nachträglich auch eine einfachere Lösung eingefallen. Damit kannst Du Dir die 'smtpd_restriction_classes' sparen.
>
> # /etc/postfix/maps/sasl_access:
>   [hidden email]    permit_sasl_authenticated
>
> --
> Alex JOST
--
Tobias Kirchhofer
[hidden email]

signature.asc (817 bytes) Download Attachment
Loading...