Postfix - Relaying denied
Hallo Liste. In folgender Frage mit Postfix komme ich nicht weiter: Habe hier ein Class-C-Netzwerk, in dem ein postfix läuft. Alle Clients dürfen ihre Mails dort abladen, und postfix transportiert sie auch, egal ob intern oder extern. So weit, so gut. Nun habe ich mir ein VPN gebaut, und kann somit auch von außen in das Netz hinein. Allerdings trete ich dabei mit der externen IP-Adresse auf. Dies führt nun dazu, daß ich meinem postfix zwar Mails für lokale User in den Rachen werfen darf. Möchte ich aber eine Mail nach extern verschicken, so gibt postfix ein "relaying denied" zurück. Ich verstehe nun nicht genau, welcher parameter in der main.cf für dieses Verhalten verantwortlich ist, bzw. wie ich es abstellen kann. Da postfix von außen nicht sichtbar ist, und somit keine Gefahr eines offenen Relays besteht, möchte ich es gern für sämtlichen Verkehr öffnen, egal woher, egal wohin. Kann mir jemand auf die Sprünge helfen? Danke+Gruß. Andy -- Antworten an lists@feile.net werden in /dev/null archiviert! Bitte ggf. lists... durch mail... ersetzen. Andreas Feile www.feile.net
Hallo, Andreas Feile schrieb:
Da postfix von außen nicht sichtbar ist, und somit keine Gefahr eines offenen Relays besteht, möchte ich es gern für sämtlichen Verkehr öffnen, egal woher, egal wohin.
nimm die in deinem Fall unnötigen restrictions aus der main.cf heraus. Allerings besteht postfix auf einigen Einträgen, das kannst du aber austesten... Gruß Martin
Hallo Leute, ich antworte mal hier auf alle bisherigen Beiträge:
smtpd_recipient_restrictions = permit
Das geht leider nicht, denn dann kommt die Fehlermeldung: fatal: parameter "smtpd_recipient_restrictions": specify at least one explicit instance of: check_relay_domains reject_unauth_destination reject
smtpd_client_restrictions = permit
Dies ändert gar nichts am Problem. Hans-Martin Flesch, Dienstag, 27. April 2004 11:07:
nimm die in deinem Fall unnötigen restrictions aus der main.cf heraus. Allerings besteht postfix auf einigen Einträgen, das kannst du aber austesten...
Jo, das klappt in der folgenden Weise: mynetworks = 217.0.0.0/8, 192.168.0.0/24 Dann kann ich meine Mails senden, wenn ich mit ner 217er IP-Adresse reinkomme (und wie ich hoffen auch aus dem LAN, kann ich aber erst morgen testen). Aber was mache ich, damit *alle* Netzwerke gehen, also auch IPs, die nicht auf 217 beginnen? Ich habe probiert mynetworks = 0.0.0.0/0 aber das akzeptiert postfix nicht. Welcher Denkfehler steckt hier drin? Danke für eure Mühe. -- Antworten an lists@feile.net werden in /dev/null archiviert! Bitte ggf. lists... durch mail... ersetzen. Andreas Feile www.feile.net
Hallo Liste. Möchte zu folgendem gern nochmal nachhaken: Andreas Feile, Dienstag, 27. April 2004 22:29:
Jo, das klappt in der folgenden Weise:
mynetworks = 217.0.0.0/8, 192.168.0.0/24
Dann kann ich meine Mails senden, wenn ich mit ner 217er IP-Adresse reinkomme (und wie ich hoffen auch aus dem LAN, kann ich aber erst morgen testen). Aber was mache ich, damit *alle* Netzwerke gehen, also auch IPs, die nicht auf 217 beginnen? Ich habe probiert
mynetworks = 0.0.0.0/0
aber das akzeptiert postfix nicht. Welcher Denkfehler steckt hier drin?
Ist die Definition mynetworks = 0.0.0.0/0 ungültig, oder akzeptiert postfix sie nur nicht, weil diese Definition auf alles zutrifft? Danke+Gruß. Andy -- Antworten an lists@feile.net werden in /dev/null archiviert! Bitte ggf. lists... durch mail... ersetzen. Andreas Feile www.feile.net
Hi auch, Am Donnerstag, 29. April 2004 10:21 schrieb Andreas Feile:
Ist die Definition
mynetworks = 0.0.0.0/0
ungültig, oder akzeptiert postfix sie nur nicht, weil diese Definition auf alles zutrifft?
Muß zugeben, das verstehe ich dann auch nicht ganz. Wenn doch wie du sagst 217.0.0.0/8 akzeptiert wird, macht es doch keine Sinn, die 0.0.0.0/0 nicht zu akzeptieren. Denn du könntest dann doch einfach hingehen und blauäugig die: 1.0.0.0/8 2.0.0.0/8 3.0.0.0/8 etc.... eintragen und hättest so mit viel Aufwand das Ergebis erreicht. Und wenn das nun sowieso möglich ist, dann muß das doch auch mit 0.0.0.0/0 gehen. Btw wenn ich 0.0.0.0/0 bei mir eingebe, weist Postfix das nicht ab, der Mailserver startet, ich kann hier nur nicht testen, ob er auch Mails annimmt. Gabs bei dir ne Fehlermeldung? Bernd -- [Zufallssig 10] [Deng] on AO Forum: "Good judgement is the result of experience... experience often comes from bad judgement."
Hallo Bernd. Apr 29 12:47:59 mailsrv postfix/smtpd[25005]: fatal: bad net/mask pattern: 0.0.0.0/0 Bernd Tannenbaum, Donnerstag, 29. April 2004 11:45:
Muß zugeben, das verstehe ich dann auch nicht ganz. Wenn doch wie du sagst 217.0.0.0/8 akzeptiert wird, macht es doch keine Sinn, die 0.0.0.0/0 nicht zu akzeptieren.
Ja, sehe ich auch so. Aber ich war mir nicht sicher, ob die 0.0.0.0/0 nicht vielleicht doch eine syntaktisch ungültige Definition ist.
Btw wenn ich 0.0.0.0/0 bei mir eingebe, weist Postfix das nicht ab, der Mailserver startet, ich kann hier nur nicht testen, ob er auch Mails annimmt. Gabs bei dir ne Fehlermeldung?
Ja, gibts, aber erst, wenn ich versuche ne Mail zu schreiben: Apr 29 12:47:59 mailsrv postfix/smtpd[25005]: fatal: bad net/mask pattern: 0.0.0.0/0 Gruß. Andy -- Antworten an lists@feile.net werden in /dev/null archiviert! Bitte ggf. lists... durch mail... ersetzen. Andreas Feile www.feile.net
Hallo Andreas,
-----Ursprüngliche Nachricht----- Von: Andreas Feile [mailto:lists@feile.net] Gesendet: Dienstag, 27. April 2004 09:30 An: suse-linux@suse.com Betreff: Postfix - Relaying denied
Hallo Liste.
In folgender Frage mit Postfix komme ich nicht weiter:
Habe hier ein Class-C-Netzwerk, in dem ein postfix läuft. Alle Clients dürfen ihre Mails dort abladen, und postfix transportiert sie auch, egal ob intern oder extern. So weit, so gut.
[...]
Kann mir jemand auf die Sprünge helfen?
such mal in der main.cf nach: smtpd_recipient_restrictions Ich zitier hierzu mal aus der Webmin-Hilfe zu diesem Parameter: This parameter specifies restrictions on recipient addresses that SMTP clients can send in RCPT TO commands. By default, Postfix relays mail: * from trusted clients whose IP address matches $mynetworks, * from trusted clients matching $relay_domains or subdomains thereof, * from untrusted clients to destinations that match $relay_domains or subdomains thereof, except addresses with sender-specified routing. The default relay_domains value is $mydestination. In addition to the above, the Postfix SMTP server by default accepts mail that Postfix is final destination for: * destinations that match $inet_interfaces, * destinations that match $mydestination, * destinations that match $virtual_maps. These destinations do not need to be listed in $relay_domains. The following restrictions are available (* is part of default setting): * *permit_mynetworks: permit if the client address matches $mynetworks. * reject_unknown_client: reject the request if the client hostname is unknown. * reject_maps_rbl: reject if the client is listed under $maps_rbl_domains. * reject_invalid_hostname: reject HELO hostname with bad syntax. * reject_unknown_hostname: reject HELO hostname without DNS A or MX record. * reject_unknown_sender_domain: reject sender domain without A or MX record. * *check_relay_domains: permit only mail: o to destinations matching $inet_interfaces, $mydestination, or $virtual_maps, o from trusted clients matching $relay_domains or subdomain thereof, o from untrusted clients to destinations matching $relay_domains or subdomain thereof (except addresses with sender-specified routing). Reject anything else. * permit_auth_destination: permit mail: o to destinations matching $inet_interfaces, $mydestination, or $virtual_maps, o to destinations matching $relay_domains or subdomain thereof, except for addresses with sender-specified routing. * reject_unauth_destination: reject mail unless it is sent o to destinations matching $inet_interfaces, $mydestination, or $virtual_maps, o to destinations matching $relay_domains or subdomain thereof, except for addresses with sender-specified routing. * reject_unauth_pipelining: reject mail from improperly pipelining spamware * permit_mx_backup: accept mail for sites that list me as MX host. * reject_unknown_recipient_domain: reject domains without A or MX record. * check_recipient_access maptype:mapname: look up recipient address, parent domain, or localpart@. Reject if result is REJECT or "[45]xx text". Permit otherwise. * check_client_access maptype:mapname: see smtpd_client_restrictions. * check_helo_access maptype:mapname: see smtpd_helo_restrictions. * check_sender_access maptype:mapname: see smtpd_sender_restrictions. * reject_non_fqdn_hostname: reject HELO hostname that is not in FQDN form. * reject_non_fqdn_sender: reject sender address that is not in FQDN form. * reject_non_fqdn_recipient: reject recipient address that is not in FQDN form. * reject: reject the request. Place this at the end of a restriction. * permit: permit the request. Place this at the end of a restriction. Restrictions are applied in the order as specified; the first restriction that matches wins. Specify a list of restrictions, separated by commas and/or whitespace. Continue long lines by starting the next line with whitespace. NOTE: YOU MUST SPECIFY AT LEAST ONE OF THE FOLLOWING RESTRICTIONS OTHERWISE POSTFIX REFUSES TO RECEIVE MAIL: reject, check_relay_domains, reject_unauth_destination Ich hoffe das hilft Dir erst mal weiter, sonst fällt mir noch ein, daß man das Ganze vielleicht auch mit smtp-auth realisieren könnte, oder? -Peter
Hallo, Am Dienstag, 27. April 2004 09:30 schrieb Andreas Feile:
Hallo Liste.
In folgender Frage mit Postfix komme ich nicht weiter:
Habe hier ein Class-C-Netzwerk, in dem ein postfix läuft. Alle Clients dürfen ihre Mails dort abladen, und postfix transportiert sie auch, egal ob intern oder extern. So weit, so gut.
Nun habe ich mir ein VPN gebaut, und kann somit auch von außen in das Netz hinein. Allerdings trete ich dabei mit der externen IP-Adresse auf. Dies führt nun dazu, daß ich meinem postfix zwar Mails für lokale User in den Rachen werfen darf. Möchte ich aber eine Mail nach extern verschicken, so gibt postfix ein "relaying denied" zurück.
Ich verstehe nun nicht genau, welcher parameter in der main.cf für dieses Verhalten verantwortlich ist, bzw. wie ich es abstellen kann. Da postfix von außen nicht sichtbar ist, und somit keine Gefahr eines offenen Relays besteht, möchte ich es gern für sämtlichen Verkehr öffnen, egal woher, egal wohin.
Habs noch nie versucht, ganz zu öffnen, aber eventuell: smtpd_client_restrictions = permit (Hier können verschiedene Filter angegeben werden, die dann mit einem "permit" abgeschlossen werden -- "First match=leave". Wenn du nun nur das permit benutzt, sollten alle erlaubt sein.) Bernd -- [Zufallssig 5] Microsoft is a cross between The Borg and the Ferengi. Unfortunately they use Borg to do their marketing and Ferengi to do their programming.
Andreas Feile, Dienstag, 27. April 2004 09:30:
In folgender Frage mit Postfix komme ich nicht weiter:
Es hilft: mynetworks = 0.0.0.0/1, 128.0.0.0/2, 192.0.0.0/3 Gruß + Danke. Andy -- Antworten an lists@feile.net werden in /dev/null archiviert! Bitte ggf. lists... durch mail... ersetzen. Andreas Feile www.feile.net
participants (4)
-
Andreas Feile -
Bernd Tannenbaum -
Hans-Martin Flesch -
peter grotz