Postfix, reject_unauth_destination, Faken vom Absender

[borni]

Guten Morgen,

leider ist mein Admin im Urlaub und somit muss ich euch ein wenig nerven. Folgendes Problem (oft behandelt relay access denied und so eben):

Um Mails zu versenden muss ich die Zeile "reject_unauth_destination" aus meiner mainconf entfernen. Problem dann ist jedoch das ich beliebige Emailadressen faken kann und der Server nicht vernünftig kontrolliert ob die angegebene Absenderadresse wirklich zum Server gehört. Meine smtpd_recipient_restrictions-Zeile sieht wie folgt aus:

Code: Select all

smtpd_recipient_restrictions =permit_mynetworks,permit_sasl_authenticated,check_relay_domains

Wie kommt es das nicht geprüft wird welcher Mailabsender gegeben ist und wo hinterlegt Confixx die Domains, die per Confixx eingetragen wurden, aber nicht über den lokalen DNS-Server laufen, sondern über einen externen.

Wenn mein Problem nicht klar genug definiert wurde, bitte ich um Rückmeldung, ansonsten schönen Sonntag und danke für die Hilfe!

Grüße

Borni

[squize]

Senderaddressen können sehr einfach gefaked werden. Wenn du nur bestimmte Senderadr. erlauben willst, dann musst diese auch checken.

Dies geht mit smtpd_sender_restrictions


Du solltest dir aber bewusst sein, dass es normal ist dem Absender zu erlauben irgend welche Daten einzutragen. Beispielweise will vielleicht jemand, dass die Antowrt nicht auf seinem Account bei dir zurückkommt, sondern vielleicht zu einem Account, den er bei einem Freemailer hat. Setzt du die smtpd_sender_restrictions ein, so ist das für ihn dann nicht mehr möglich.

Gruss

Marc

[borni]

danke für die schnelle antwort.

ok, stimmt schon manche das wollen, wiederum läd es doch zu spammen ein oder etwa nicht? was würdest du sagen (evtl aus eigener erfahrung) wie man es am besten löst?

[duergner]

Wie soll man denn spammen können wenn ein 'sasl_authenticated' drinnen is? Dann können doch nur noch deine Benutzer versenden. Und wenn da dann einer unter einer Adresse spammt, dann kriegst du den recht leicht über den Login und kannst wegen AGB kündigen.

[squize]

Duergner hat die Antwort schon geliefert.

Einen Offenen Relay verhinderst du durch SMTP-After-POP oder SMTP-AUTH. Wenn einer deiner Nutzer spammen will, dann hast du zwar recht, dann braucht er aber nicht seinen Account zu benutzen, sondern wir einfach ein SPAM-Tool in seinen Webspace laden. Beides wird aber kein Spammer machen, da er dadurch ja Spuren hinterlässt, die auf ihn zurückzuführen sind.

Stell dir vor du hast einen Spammerkunden. Da wirst du recht schnell Beschwerden bekommen und kannst dann anhand der Logs erkennen, wer es denn war. Und schon sieht sich der Spammer mit einer Anzeige konfrontiert.

Gruss

Marc

[borni]

Alles klar, alle Fragen beantwortet. :-D Vielen Dank und schönen Abend!

Grüße
Borni