Danke!
Wie kann ich postfix so einzwängen, daß es Mail niemals an andere Rechner als localhost ausliefert? Das ist auch ein Sicherheitsproblem. Man braucht einen lokalen MTA zB für Mails von cron, aber außerhalb der eigenen CPU sollte das direkt abgesägt werden. Eigentlich sollte das auch die Voreinstellung auf SUSE sein - wenn man mehr haben will, sollte man das ausdrücklich einschalten müssen. Insbesondere, wenn SuSEfirewall2 auch überhaupt keine Ausgangsfilterung kann (genauso wie der meistgebrauchte Firewall - ipcop).
Postfix selber ist bestimmt nicht das Sicherheitsproblem, eher der Apache oder die php/perl-Scripte, die darauf laufen. Mit "inet_interfaces = localhost" lauscht Postfix nur auf localhost und kann keine Mails aus dem Netzwerk annehmen.
Wer sagt denn, daß es sich hier um einen Server handelt? Und nicht zB um ein Büro, bei dem ich nicht will, daß Arbeitsplatzrechner nach weltweit.net:25 loslegen? (Ok das wird dann auch per Firewall erledigt, aber darum geht es hier nicht.) Du packst das Problem auch wieder auf der Eingangsseite an. Was nach postfix reingeht, ist mir erst mal gleich, und läßt sich mit inet_interfaces=localhost regeln. Ich will postfix's Aktivitäten auf localhost beschränken, und zwar besonders für den Ausgang.
Wenn du dann noch "authorized_submit_users = !wwwrun, static:anyone" setzt, darf der Webserver auch nicht Mails an Postfix über die Kommandozeile schicken. Alternativ setze hier nur die user, die Mails einliefern dürfen.
Das beschränkt den Eingang, aber nicht den Ausgang nach weltweit.net:25.
mydestination = localhost myorigin = localdomain.intern smtpd_recipient_restrictions = reject_unauth_destination
Das beschränkt leider noch nicht einmal den Eingang für alles, was nicht nach localhost geht. Ich habe authorized_submit_users = !wwwrun, static:anyone inet_interfaces = localhost mydestination = localhost.$mydomain, localhost mydomain = site myhostname = localhost mynetworks_style = host myorigin = localhost relayhost = smtpd_client_restrictions = permit_inet_interfaces, reject_unknown_client_hostname smtpd_helo_required = yes smtpd_helo_restrictions = reject_invalid_helo_hostname, reject_unknown_helo_hostname smtpd_recipient_restrictions = reject_unauth_destination Und er transportiert immer noch munter nach weltweit.net. Mein Problem ist also noch nicht einmal Ansatzweise gelöst.
Ich denke aber wirklich, dass du das falsche Einfalltor versuchst zu schließen. Wenn du diesen Server nicht alleine verwaltest, solltest du auf jeden Fall solche Hacks dokumentieren, damit dein Kollege/Nachfolger sich nicht die Haare ausrauft, weil er eine Mail an einen externen Account schicken soll.
Kein Server, kein Kollege, und Doku gibts ausreichend in /etc/sysconfig/postfix, wo jeder zuerst hinsieht. Volker -- Volker Kuhlmann is list0570 with the domain in header http://volker.dnsalias.net/ Please do not CC list postings to me. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org