On Saturday 20 January 2007 05:46, Volker Kuhlmann wrote:
Wie kann ich postfix so einzwängen, daß es Mail niemals an andere Rechner als localhost ausliefert? Das ist auch ein Sicherheitsproblem. Man braucht einen lokalen MTA zB für Mails von cron, aber außerhalb der eigenen CPU sollte das direkt abgesägt werden. Eigentlich sollte das auch die Voreinstellung auf SUSE sein - wenn man mehr haben will, sollte man das ausdrücklich einschalten müssen. Insbesondere, wenn SuSEfirewall2 auch überhaupt keine Ausgangsfilterung kann (genauso wie der meistgebrauchte Firewall - ipcop).
Als Zusammenfassung: Postfix scheint das nicht wirklich zu können. Einlieferung nach Postfix per SMTP zu beschränken ist sinnlos wenn lokale Benutzer auch per /usr/sbin/sendmail einliefern können. Wieviel sich lokale Benutzer untereinander lokal unterhalten ist mir gleich.
Du packst das Problem auch wieder auf der Eingangsseite an. Was nach postfix reingeht, ist mir erst mal gleich, und läßt sich mit inet_interfaces=localhost regeln. Ich will postfix's Aktivitäten auf localhost beschränken, und zwar besonders für den Ausgang.
Äh, hallo...?!? Es ist eigentlich das normale Schema, das Übel an der Wurzel anzupacken und nicht zu versuchen, sich mit Symptomen herumzuprügeln.
Wie läßt sich die Einlieferung dann zuverlässig beschränken? Und zwar für alle Eingangsmöglichkeiten?
Wie Sandy bereits geschrieben hat, solltest Du dir http://www.postfix.org/postconf.5.html#authorized_submit_users mal dazu ansehen. Was über den smtpd reinkommt, kannst Du über smtpd_*_restrictions konfigurieren.
Debian zB liefert per Voreinstellung auch keine Mail nach außerhalb aus. Ich sollte nicht wirklich erklären müssen, warum das eine gute Voreinstellung ist. Wer mehr haben will, kann das ganz einfach konfigurieren.
Ja, Debian ist schon was ganz besonderes.
Was machst du mit einer Mail, die schon eingeliefert wurde, aber nicht nach localhost geht? Soll diese automatisch gelöscht werden, auf HOLD gesetzt werden, zu einer Admin-Adresse umgeleitet werden?
Diese Frage ist zweitrangig. Löschen wäre gut, spart mir per cron in /var/spool/postfix/defer* etc alte Dateien zu löschen.
Als Lösungsmöglichkeiten bieten sich an:
1) iptables. Da SuSEfirewall2 Datenausgang nicht beschränken kann, muß man /etc/sysconfig/scripts/SuSEfirewall2-custom hacken. Ist aber nicht so schwer, iptables muß man aber sprechen können.
2) Man tut 1) auf seinem Firewall.
3) In main.cf relayhost=localhost oder =gibtesnicht setzen.
4) In /etc/postfix/master.cf die beiden Zeilen, die auf smtp enden, auskommentieren. Danke für den Tip, Sandy!
5) ???
default_transport = discard Ob das sauber ist sei dahingestellt, auf jedenfall besser wie 1)-4). Du solltest nach Möglichkeit Mails an externe Adressen gar nicht erst in Postfix hereinlassen. Siehe Link oben und smtpd_*_restrictions. -- Andreas -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org