Hallo, Am Wed, 18 Feb 2004, Frank Palvölgyi schrieb:

in der aliasdatei stehen doch nicht alle User drin.

/etc/mail/access? -dnh -- we are apt of borg - rpm is futile - you will be dpkg'ed.

Hallo Daniel, Daniel Lord wrote:

Am besten weiß ich nicht. Ich würde es (in einer halbwegs kontrollierbaren Umgebung) erstmal über einen Austausch des pine binaries realisieren. (sicher ist das so nicht)

#!/bin/bash # dies ist das neue pine :) # altest pine sollte sich unter /opt/nopath/pine befinden. # Es fehlt noch eine Übergabe von Kommandozeilenoptionen. Gesehen # hab ich das schon aber... zu viel Rindfleisch.

PINE="/opt/nopath/pine" USERID1=500

if test `id -u` -eq $USERID1; then echo "Sie sind nicht berechtigt pine zu nutzen" >&2 exit -1 fi

exec $PINE

die Lösung läst sich nicht so leicht umsetzen. Ich müsste dann von etwa 100 Usern die Userid raussuchen usw. Damit könnte ich ja noch leben aber dann steigen die User auf Outlook um und rufen mittels POP3 die E-Mails ab. Denn Anwender sind ja erfinderisch, wenn man Ihnen etwas verbietet. Frank

Al Bogner wrote:

Technisch wird es wohl eine Lösung geben. Ich frage mich aber, ob man das nicht innerorganisatorisch anders lösen kann. Ich vermute mal, dass es darum geht, dass einige Mitarbeiter nicht mit Privatmails die Arbeitszeit "verbraten", oder?

Nein. Du liegst leider falsch. Frank

*** Matthias Houdek wrote:

Am Mittwoch 18 Februar 2004 16:46 schrieb Frank Palvölgyi:

...

Jetzt sollen bei einigen Accounts der E-Mail Zugang gesperrt werden. Soll heißen die sollen über die Konsole (pine) oder per SMTP - POP3 keine E-Mail mehr versenden und empfangen dürfen. Das soll aber nur bei ein paar Accounts so gemacht werden.

1. pine Zugriffsrechte haben _nur_ Mitglieder der Gruppe 'mailuser'. Du musst dann allerdings einmal in den sauren Apfel beißen und die Mitglieder dieser Gruppe festlegen. Alle anderen bleiben dann außen vor (sehen pine nicht mal, wenn nicht mal Leserechte vorhanden sind).

telnet $mailserver 25

2. SMTP und POP3 Da bei einem Mailserver sämtlicher Mailverkehr über den MTA läuft, kann man hier die betreffenden Mails sperren (Blacklists für Empfänger und Sender). Das geht mit Postfix sicherlich wesentlich einfacher als mit sendmail. Wenn Interesse, dann kämpfen wir das gemeinsam durch.

da braucht ihr nicht lange kämpfen, das ist recht simpel. aber was hindert den etwas geschickteren user daran, einfach einen anderen absender zu benutzen? micha

Am Mittwoch 18 Februar 2004 20:27 schrieb Michael Meyer:

*** Matthias Houdek wrote:

...

Am Mittwoch 18 Februar 2004 16:46 schrieb Frank Palvölgyi:

...

Jetzt sollen bei einigen Accounts der E-Mail Zugang gesperrt werden. Soll heißen die sollen über die Konsole (pine) oder per SMTP - POP3 keine E-Mail mehr versenden und empfangen dürfen. Das soll aber nur bei ein paar Accounts so gemacht werden.

1. pine Zugriffsrechte haben _nur_ Mitglieder der Gruppe 'mailuser'. Du musst dann allerdings einmal in den sauren Apfel beißen und die Mitglieder dieser Gruppe festlegen. Alle anderen bleiben dann außen vor (sehen pine nicht mal, wenn nicht mal Leserechte vorhanden sind).

telnet $mailserver 25

SMPT-Auth.

...

2. SMTP und POP3 Da bei einem Mailserver sämtlicher Mailverkehr über den MTA läuft, kann man hier die betreffenden Mails sperren (Blacklists für Empfänger und Sender). Das geht mit Postfix sicherlich wesentlich einfacher als mit sendmail. Wenn Interesse, dann kämpfen wir das gemeinsam durch.

da braucht ihr nicht lange kämpfen, das ist recht simpel. aber was hindert den etwas geschickteren user daran, einfach einen anderen absender zu benutzen?

Höchstens beim Versand, ansonsten SMTP-Auth. -- Gruß MaxX 8-)

Am Donnerstag 19 Februar 2004 11:50 schrieb Michael Meyer:

*** Matthias Houdek wrote:

...

Am Mittwoch 18 Februar 2004 20:27 schrieb Michael Meyer:

...

*** Matthias Houdek wrote:

...

Am Mittwoch 18 Februar 2004 16:46 schrieb Frank Palvölgyi:

...

Jetzt sollen bei einigen Accounts der E-Mail Zugang gesperrt werden. Soll heißen die sollen über die Konsole (pine) oder per SMTP - POP3 keine E-Mail mehr versenden und empfangen dürfen. Das soll aber nur bei ein paar Accounts so gemacht werden.

1. pine Zugriffsrechte haben _nur_ Mitglieder der Gruppe 'mailuser'. Du musst dann allerdings einmal in den sauren Apfel beißen und die Mitglieder dieser Gruppe festlegen. Alle anderen bleiben dann außen vor (sehen pine nicht mal, wenn nicht mal Leserechte vorhanden sind).

telnet $mailserver 25

SMPT-Auth.

ja, eben. es wird ihm wohl für eine saubere lösung nichts anderes übrig bleiben. den zugriff auf programme zu beschränken ist eben keine saubere lösung.

...

...

...

2. SMTP und POP3 Da bei einem Mailserver sämtlicher Mailverkehr über den MTA läuft, kann man hier die betreffenden Mails sperren (Blacklists für Empfänger und Sender). Das geht mit Postfix sicherlich wesentlich einfacher als mit sendmail. Wenn Interesse, dann kämpfen wir das gemeinsam durch.

da braucht ihr nicht lange kämpfen, das ist recht simpel. aber was hindert den etwas geschickteren user daran, einfach einen anderen absender zu benutzen?

Höchstens beim Versand,

ja, wann denn auch sonst. also ist doch das relayen nach absender völlig sinnfrei. das wollte ich mit meiner frage ausdrücken. somit landen wir wieder bei ...

Ich bin wohl noch von der Annahme ausgegangen, dass lokale Mails geschrieben werden dürfen. Aber das braucht wohl auch nicht sein. Außerdem: Welcher Normaluser kann schon eine Mail ohne MUA versenden? Und wer das kann, der findet auch einen anderen Weg, seine Mail auf den Weg zu bringen - vorausgesetzt, er kommt irgendwie ins Internet.

...

ansonsten SMTP-Auth.

micha

Sicha ;-) -- Gruß MaxX 8-)

Bernd Schmelter wrote:

Ich würde generell den direkten Zugang zum Internet mittels Firewallregeln sperren. Mails kann nur der Mailserver versenden oder empfangen. ALLE User haben also nur das Recht über den eigenen Mailserver zu kommunizieren. Falls bestimmte User nur intern Mails versenden dürfen, so ist das über die Konfiguration des MTAs auf dem Mailserver zu realisieren.

Der Rechner schickt keine Mails ins Internet. Es geht wirklich nur um Kommunikation im LAN. Und dort sollen manche User gesperrt werden. Frank

Hallo Helga, Helga Fischer wrote:

...

Jetzt sollen bei einigen Accounts der E-Mail Zugang gesperrt werden. Soll heißen die sollen über die Konsole (pine) oder per SMTP - POP3 keine E-Mail mehr versenden und empfangen dürfen. Das soll aber nur bei ein paar Accounts so gemacht werden.

...

Wie mache ich das am besten?

Spontane Antwort: Die User aus der virtusertable streichen, aber ich kann mich jetzt nicht dran erinnern, ob sendmail dann nicht doch zustellt. Ich glaube, er legt auf jeden Fall eine Mailbox an oder mailt root oder den postmaster an.

Wenn ich das richtig verstehe, dann bedeutet Konsollen-Benutzer, daß eine Verbindung (wie auch immer) zu einer Shell auf dem entsprechendem Server besteht. Dann ist der Benutzer lokal angemeldet und darf _immer_ Mails verschicken. Das ist die Standard-Konfiguration von sendmail und sollte tunlichst nicht geändert werden. Die einfachste Variante wäre wohl, einfach den Shell-Zugang zu streichen, damit sich dieses Problem erledigt. Oder die Befehle "mail" "sendmail" "pine" "mutt" oder was sonst noch möglich wäre, per alias explizit für diese User auf ein Script setzen. alias mutt=/irgendwo/skript.sh Dieses Skript sagt dem Benutzer dann auf den Konsole, daß er momentan nix machen darf, oder so. Die Datei, wo da diese aliase drinne stehen, sollten durch den Benutzer natürlich nicht verändert werden können. Was POP3/SMTP angeht und wenn statische IPs im Netz pro Client vergeben sind, dann kann man sendmail dazu bewegen Verbindungen von bestimmten IPs zu rejecten. Näheres dazu in /etc/mail/access ...

Und über die alias-Datei die Mails einfach auf einen anderen Account umgelenken wirst Du kaum machen wollen, schließlich sind es nicht Deine Mails.

Kommt auf den Blickwinkel an. In einer Firma wäre es durchaus üblich eine eMail-Adresse eines ehemaligen Mitarbeiters ein paar Wochen lang auf dessen Ersatz umzuleiten oder auf sonst wen, wenn $entscheider sich dazu äußert. Wenn Du Webmin auf der Kiste installierst, dann sollte die Konfiguration von sendmail diesbezüglich in wenigen Schritten erreicht sein. Freundliche Grüsse Kind regards Martin Mewes -- Official Webmin/Usermin Translation Co-Ordinator http://www.webmin.com/ http://webmin.mamemu.de/ (Mirror)

* Martin Mewes postete am 18. Feb. 2004 folgendes:

Oder die Befehle "mail" "sendmail" "pine" "mutt" oder was sonst noch möglich wäre, per alias explizit für diese User auf ein Script setzen.

alias mutt=/irgendwo/skript.sh

Dieses Skript sagt dem Benutzer dann auf den Konsole, daß er momentan nix machen darf, oder so.

Das geht danneben, da man die Aliase wieder löschen kann. Besser wäre es dann, das man solche Programme in eine bestimmte Gruppe packt, wo die berechtigten User dann auch Mitglied sind. So kann man es besser kontrollieren. Bye Michael -- What are YOU doing to oppose the Microsoft Juggernaut? _______________________________________________________________________ http://macbyte.info/ ICQ #151172379 http://autohbci.macbyte.info/

Stefan Waidele jun. wrote:

PPS: Ich frage mich, warum Du so restriktiv sein willst, wenn eh' nichts in s Internet geht und auch Privatmails nicht das Problem sind.

Über den Server mailen Auszubildende. Und bestimmte Gruppen sollen jetzt einen anderes Mailsystem nutzen. Die sollen aber auf dem alten Server weiter den Fileserverdienst usw. nutzen. Und damit die das neue System nutzen, muss ich die ja irgendwie zwingen umzusteigen. Frank

Helga Fischer wrote:

Und wie wäre es mit einem kleinen Rundbrief: Ab morgen ist ein neuer Mailserver in Betrieb, bitte folgende Daten verwenden... ?

Bei 80% der Leute klappt das wahrscheinlich und die restlichen 20% kapieren das nicht und nutzen weiter den alten Server. Das ist bei uns nicht alles so einfach. Unsere Firma ist nämlich etwas größer. Frank