Mailinglist Archive: opensuse-de (970 mails)
| < Previous | Next > |
Re: Postfix - Mails nur für best. Adressen annehmen, den Rest ablehnen
- From: Sandy Drobic <opensuse-de@xxxxxxxxx>
- Date: Mon, 28 Nov 2011 17:23:25 +0100
- Message-id: <4ED3B57D.70305@drobic.de>
On 28.11.2011 16:18, Daniel Bauer wrote:
Postfix prüft die recipient_maps automatisch am Ende der
smtpd_recipient_restrictions. mit reject_unlisted_recipients kann man diese
Prüfung jedoch vorziehen, wenn man z.B. vor aufwendigen Checks erst klären
will, ob die Mail überhaupt angenommen werden kann. Warum Greylisten, wenn die
Mail ohnehin abgewiesen wird, weil der Empfänger ungültig ist?
Ja, bei der Konfiguration kann man nur noch eine Blacklist einsetzen, welche
die entsprechenden Accounts blockt. Du kannst dies entweder manuell machen
(sollte für den Anfang reichen) oder ein Script schreiben, welche die
/etc/passwd ausliest und die Accounts mit uid < 1000 in diese Blacklist nimmt.
/etc/postfix/reject_internal_accounts:
wwwrun 550 invalid recipient
# "postmap /etc/postfix/reject_internal_accounts" nicht vergessen (^-^)
/etc/postfix/main.cf:
smtpd_recipient_restrictions =
check_recipient_access hash://etc/postfix/reject_internal_accounts
reject_unlisted_recipient
permit_sasl_authenticated,
permit_mynetworks
reject_unauth_destination
Für deine augenblickliche Konfig würde dies bedeuten, dass auch Mails von
authentifizierten Clients an ungültige interne Empfänger direkt abgewiesen
werden und nicht erst angenommen und später gebounced.
Dann sollte der Spuk vorbei sein.
Sandy
--
Sandy
Antworten bitte nur in die Mailingliste!
PMs bitte an: news-reply2 (@)drobic (.) de
--
Um die Liste abzubestellen, schicken Sie eine Mail an:
opensuse-de+unsubscribe@xxxxxxxxxxxx
Um den Listen Administrator zu erreichen, schicken
Sie eine Mail an: opensuse-de+owner@xxxxxxxxxxxx
From: "Sandy Drobic" <opensuse-de@xxxxxxxxx>
On 28.11.2011 12:18, Daniel Bauer wrote:
[...]
Ich hab es auch grad probiert: mail@domain.a wird immer noch angenommen,
obwohl ich es expliziet als Kommentar in der aliases aufgeführt habe.
Ich gehe davon aus, dass dein Test falsch läuft. Wenn du intern aus dem Netz
eine Mail schickst und in
smtpd_recipient_restrictions =
....
permit_mynetworks
permit_sasl_authenticated
reject_unauth_destination
...
steht, dann wird die Mail angenommen, weil der Client im internen Netz steht.
Die Frage ist eher: wird die Mail auch von einem externen Client abgewiesen?
Stelle mal als erstes einfach ein
smtpd_recipient_restrictions =
reject_unlisted_recipient
permit_mynetworks
permit_sasl_authenticated
reject_unauth_destination
Dann sollte es auch von einem internen Client abgewiesen werden.
also das reject_unlisted_recipient hat gefehlt, leider sind IMHO die User aber
gelistet durch die /etc/passwd und somit gehen die Mails doch durch, näheres
unten in der Mail.
Postfix prüft die recipient_maps automatisch am Ende der
smtpd_recipient_restrictions. mit reject_unlisted_recipients kann man diese
Prüfung jedoch vorziehen, wenn man z.B. vor aufwendigen Checks erst klären
will, ob die Mail überhaupt angenommen werden kann. Warum Greylisten, wenn die
Mail ohnehin abgewiesen wird, weil der Empfänger ungültig ist?
Ja, bei der Konfiguration kann man nur noch eine Blacklist einsetzen, welche
die entsprechenden Accounts blockt. Du kannst dies entweder manuell machen
(sollte für den Anfang reichen) oder ein Script schreiben, welche die
/etc/passwd ausliest und die Accounts mit uid < 1000 in diese Blacklist nimmt.
Mein mynetworks ist nur localnet, da ich auch intern die User mit
Authentifizierung betreibe.
Desweiteren teste gerade immer von außerhalb mit meiner GMX Adresse.
Wenn ich das mit dem von Dir beanstanden Paramter
local_recipient_maps = $alias_maps
mache funktioniert es, aber was ist dann dadurch falsch/unwartbar usw.
[...]
Wenn es auch von einem externen Client funktioniert, dann komme ich ohne
Ausgabe von "postconf -n" und dem Logauszug mit der Annahme der Mail nicht
weiter.
Hier nun die gewünschten Ausgaben, bisher habe ich noch nicht allzu viel
konfiguriert um mich nicht zu verrennen.
postconf -n
alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
append_dot_mydomain = no
biff = no
broken_sasl_auth_clients = yes
config_directory = /etc/postfix
home_mailbox = Maildir/
html_directory = /usr/share/doc/postfix/html
mail_name = mail.domain.a
mailbox_command = procmail -a "$EXTENSION"
mailbox_size_limit = 0
message_size_limit = 0
mydestination = domain.a, localhost.localdomain, localhost, localhost.tld
myhostname = mail.domain.a
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
myorigin = /etc/mailname
readme_directory = /usr/share/doc/postfix
recipient_delimiter = +
smtpd_recipient_restrictions = reject_unlisted_recipient,
permit_sasl_authenticated, permit_mynetworks, reject_unauth_destination
smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain =
smtpd_sasl_security_options = noanonymous
smtpd_sender_restrictions = permit_sasl_authenticated, permit_mynetworks,
reject_unauth_destination
smtpd_use_tls = no
virtual_alias_maps = hash://etc/postfix/virtual
/etc/postfix/reject_internal_accounts:
wwwrun 550 invalid recipient
# "postmap /etc/postfix/reject_internal_accounts" nicht vergessen (^-^)
/etc/postfix/main.cf:
smtpd_recipient_restrictions =
check_recipient_access hash://etc/postfix/reject_internal_accounts
reject_unlisted_recipient
permit_sasl_authenticated,
permit_mynetworks
reject_unauth_destination
Für deine augenblickliche Konfig würde dies bedeuten, dass auch Mails von
authentifizierten Clients an ungültige interne Empfänger direkt abgewiesen
werden und nicht erst angenommen und später gebounced.
Dann sollte der Spuk vorbei sein.
Sandy
--
Sandy
Antworten bitte nur in die Mailingliste!
PMs bitte an: news-reply2 (@)drobic (.) de
--
Um die Liste abzubestellen, schicken Sie eine Mail an:
opensuse-de+unsubscribe@xxxxxxxxxxxx
Um den Listen Administrator zu erreichen, schicken
Sie eine Mail an: opensuse-de+owner@xxxxxxxxxxxx
| < Previous | Next > |