Wieder mal amavis: Open relay? Nonlocal recips but not originating

Dieses Thema im Forum "Server Administration" wurde erstellt von Sir Henry, 4. Feb. 2013.

  1. Sir Henry

    Sir Henry Member

    Diese Amavis-Warnung gibt es ja seit einiger Zeit, und ich habe sie bisher ignoriert. Nun möchte ich sie loswerden und habe dazu recherchiert und auch einiges gefunden.

    Die Warnung wird ausgegeben, wenn Amavis eine Mail an einen nicht-lokalen Empfänger entdeckt und die Mail nicht von einem lokalen Absender stammt. Das ist sinnvoll.

    Ein lokaler Absender hat das Amavis-Flag originating = 1. Dies ist automatisch der Fall für alle IPs, die in @mynetworks gelistet sind, was z.B. auf Foren oder andere Software zutrifft, die auf dem Server installiert ist und Mail versendet.

    Jetzt möchte ich aber zusätzlich die Mails als lokal kennzeichnen, die von SASL-authenticated Absendern kommen. Eine Empfehlung in einem Forum war diese, basierend auf der Tatsache, dass alle Mails über den Port 10024 von Postfix an Amavis gemeldet werden:

    Code:
    $interface_policy{'10024'} = 'SASL_AUTH';
    $policy_bank{'SASL_AUTH'} = {
      originating => 1,
    };
    
    Das unterdrückt zwar die Warnungen, geht aber zu weit. Es werden nämlich alle Mails über den Port 10024 geleitet, auch die von externen nicht-authentifizierten Einlieferern. Das wäre doch ein Freibrief für alle!?

    Daher die Frage: Kann man die SASL-authenticated Mails über einen anderen Port an amavis schleusen? Oder gibt es eine andere Lösung?
     
  2. gpkvt

    gpkvt New Member

    Hast du in deiner amavisd.conf einen mynetworks-Eintrag?

    @mynetworks = qw(
    0.0.0.0/8 127.0.0.0/8 [::1] [FE80::]/10 [FEC0::]/10
    169.254.0.0/16 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16
    ...
    );

    Steht da alles wichtige drin?
     
  3. Sir Henry

    Sir Henry Member

    Ja, es funktioniert ja auch für lokale Empfänger. Das Problem sind ja die nicht-lokalen Absender, die an nicht-lokale Empfänger senden.
     
    Zuletzt bearbeitet: 8. Feb. 2013
  4. gpkvt

    gpkvt New Member

  5. Sir Henry

    Sir Henry Member

    Doch, sollen sie, wenn sie SASL authentifiziert sind. Das ist es ja gerade!

    Ja, Postfix.

    Ich werde jetzt diese Warnung einfach abschalten, da ich weiß, dass Postfix gut konfiguriert ist und kein offenes Relay darstellt:

    Code:
    $interface_policy{'10024'} = 'ORIGINATING';
    $policy_bank{'ORIGINATING'} = {
        originating => 1,  # declare that mail was submitted by our smtp client
    };
    
     
    Zuletzt bearbeitet: 8. Feb. 2013
  6. gpkvt

    gpkvt New Member

    Was sagt Open Relay Test wenn du dort die IP von deinem Mailserver angibst?
     
  7. Sir Henry

    Sir Henry Member

    Ich danke dir wirklich für deine Bemühungen, aber deine Fragen sind in keiner Weise zielführend.
     
  8. gpkvt

    gpkvt New Member

    Ich wollte nur sichergehen, dass du wirklich kein OpenRelay gezimmert hast, die SASL-Auth hatte ich anfangs überlesen.

    Eventuell kommst du deinen Ziel mit Transport-Maps näher: Postfix manual - transport(5)
     

Diese Seite empfehlen