ist das normal?

[st-cb]

ist es normal das ich e-mails ohne anmedung in postfächer des eigenen server legen kann?

habe hier einen server mit postfix unter suse mit confixx. ich kann ohne anmeldung an den server keine mails relayen - das ist ja auch gut so.

aber man kann mails an vorhandene accounts des server senden ohne sich vorher anzumelden. das sollte man doch ändern können - oder? hat jemand einen tipp für mich wie man das lösen könnte?


christian

[encbladexp]

Ich weis nicht ob ich dich jetzt richtig verstanden habe, aber du meinst es sei nicht normal dir ohne Anmeldung via SMTP Mails zu schicken?

Wie soll den z.B. GMX sich bei dir authorisieren?

Hab ich dich nur falsch verstanden, oder liegt da bei dir wirklich ein denkfehler vor?

mfg Betz Stefan

[snowball]

Vieleicht verstehe ich dich nicht ganz richtig, aber wenn man sich erst anmelden muss um dir eine Mail zu schicken, woher soll derjenige denn die Zugangsdaten bekommen?

Es ist ganz normal, das man an deinem Server Mails schicken darf und er die auch annimmt. Sonnst hättest du wohl eine sehr einsame Zeit vor dir :-D

EDIT: Mist, wieder einer schneller ;-)

[st-cb]

ja nee ;-)


von anderen server ist klar - ich meine folgendes:

ich nehme z.B. Outlook, lege ein neues konto an in dem als smtpserver die url meiner domain steht. absender name und und postfachdaten sind gefakt.

wenn ich jetzt mit diesen kto-einstellungen eine mail an eine vorhandene email-adresse meiner domain sende geht diese durch.

und genau das möchte ich nicht.

[snowball]

Tja, soweit ich weis, ist das nicht zu ändern. Du könntest versuchen, deinem MTA beizubringe, das er sich zu sendenen MTA verbindet, dort überprüft ob es den Benutzer gibt und nur dann Mails an nimmt. Glaube aber das das nicht standardkonform ist. Ausserdem: Wie reagiert dein Server, wenn der gegnerische Server diese Anfrage einfach nicht zulässt? Wir hatten in der Firma mal einen Programiere, der hat versucht das über ein Programm zu lösen.... Hat aber leider nicht geklappt.

Du siehst... so einfach ist das leider nicht immer.

[felixs]

ja nee ;-)
von anderen server ist klar - ich meine folgendes:

ich nehme z.B. Outlook, lege ein neues konto an in dem als smtpserver die url meiner domain steht. absender name und und postfachdaten sind gefakt.

wenn ich jetzt mit diesen kto-einstellungen eine mail an eine vorhandene email-adresse meiner domain sende geht diese durch.

und genau das möchte ich nicht.

Ich denke, du solltest dir etwas mehr Wissen über das SMTP-Protokoll aneignen. Ob du den SMTP-Server in Outlook anlegst und dann eine Mail schickst oder die Mail per GMX auf deinen Rechner kommt, macht keinen Unterschied. Daher ist auch keine Authentifizierung nötig.

Was du willst, geht mit SMTP nicht. Mit SPF könntest du aber deinen Server so einstellen, dass Mails von bestimmten Absendern nur noch von den dafür vorgesehenen Servern können. Wenn du aber alle anderen Mails abweist, bist du ebenfalls wieder sehr einsam.

Außerdem wirst du vermutlich auch sicherstellen wollen, dass die SMTP-Envelope-Adresse auch mit dem From im Mail Header übereinstimmt. Auch das geht nicht so einfach.

fs

[st-cb]

hmmm.

habe hier mal die mail-log wenn ich vom mail-client direkt sende:

Code: Select all

Jan  4 15:29:09 pxyz postfix/qmgr[26718]: 05E5A80D774: from=<gott@himmel.hausen>, size=584, nrcpt=1 (queue active)
Jan  4 15:29:09 pxyz spamd[8249]: connection from localhost.localdomain [127.0.0.1] at port 56428 
Jan  4 15:29:09 pxyz spamd[19196]: processing message <428F93FF-A2C2-4C05-B6E1-6429CA4EBC3F@himmel.hausen> for web8p1:104. 
Jan  4 15:29:15 pxyz spamd[19196]: clean message (-1.4/5.0) for web8p1:104 in 5.9 seconds, 728 bytes. 
Jan  4 15:29:15 pxyz postfix/local[18931]: 05E5A80D774: to=<web8p1@mailserver.de>, orig_to=<mail@meinedomain.de>, relay=local, delay=7, status=sent (delivered to command: /usr/bin/procmail)
Jan  4 15:29:15 pxyz postfix/qmgr[26718]: 05E5A80D774: removed

ich will das nicht

wenn ich über den server nach draussen senden will mus ich logindaten angeben - und lokal nicht? merkwürdige geschichte...


EDIT: in den mailheadern steht z.B. folgendes.

Code: Select all

Received: from [192.168.1.150] (pD9FFxyz1.dip.t-dialin.net [meine.ip.2.3]) by mailserver.de (Postfix) with ESMTP id 05E5A80D774 for <mail@meinedomain.de>; Wed,  4 Jan 2006 15:29:08 +0100 (CET)

demnach kann man ja an der IP 192.168.1.150 (meine lokale IP) sehen das da etwas nicht stimmt - ist postfix so doof?

[encbladexp]

ich nehme z.B. Outlook, lege ein neues konto an in dem als smtpserver die url meiner domain steht. absender name und und postfachdaten sind gefakt.


wenn ich jetzt mit diesen kto-einstellungen eine mail an eine vorhandene email-adresse meiner domain sende geht diese durch.

und genau das möchte ich nicht.

Ok, sind die Absendedaten auch Adresse aus deiner Domain? Oder andere?

Wenn es andere sind (wenn deine gefakte Adresse z.B. von GMX ist, dann kannste einstellen das eine mail von jemanden @gmx.* auch von einem MTA sein muss der auch nachweislich von GMX ist (Reverse-Lookup der IP, die IP muss auch als MX eingetragen sein, z.B. für @gmx.* oder so)

Frag mich aber net wie das genau geht... Habs selbst erst gestern meinen 1. Rootserver (bei Strato, konnte dem 19,90 Angebot net wiederstehen) bestellt...

Hilfreich wäre vielleicht:
http://www.postfix.org/SMTPD_ACCESS_README.html#lists
http://www.postfix.org/postconf.5.html# ... der_domain

mfg Betz Stefan

[st-cb]

danke "encbladexp " habe eine lösung gefunden:

Code: Select all

smtpd_recipient_restrictions = reject_invalid_hostname, reject_non_fqdn_sender,reject_non_fqdn_recipient,reject_unknown_sender_domain,reject_unknown_recipient_domain, permit_sasl_authenticated,permit_mynetworks, reject_unauth_pipelining,reject_unauth_destination,reject_maps_rbl, check_relay_domains

und

Code: Select all

maps_rbl_domains = list.dsbl.org relays.ordb.org relays.visi.com 

jetzt bekomme ich mit meinem outlook einen fehler gemeldet:

Code: Select all

Jan  4 15:50:26 pxyz postfix/smtpd[21107]: NOQUEUE: reject: RCPT from pD9FFxyz1.dip.t-dialin.net[meine.ip]: 450 <gott@himmel.hausen>: Sender address rejected: Domain not found; from=<gott@himmel.hausen> to=<mail@meinedomain.de> proto=ESMTP helo=<[192.168.1.150]>

ist evtl ein wenig brutal - aber man kann ja immernoch ein wenig abspecken - was sagt ihr dazu?

[duergner]

Nachdem du anscheinend keine Ahnung zu haben scheinst was genau du hier tust, solltest du dringend jemanden beauftragen dass er deinen Server für die administriert.

[st-cb]

Nachdem du anscheinend keine Ahnung zu haben scheinst was genau du hier tust, solltest du dringend jemanden beauftragen dass er deinen Server für die administriert.

wenn ich das in diesem fall auf anhieb wüsste, würde ich nicht nachfragen. aber wenn du kurz beschreiben kannst wie man das löst, kannst du es ja kurz beschreiben.

aber dennoch bedanke ich micht rechtherzlich für deinen fachmännischen tipp.

[duergner]

Mailserver KOnfiguration v.a. mit BlockLists und solchen Spässchen is nichts was man mal so schnell und einfach aufsetzen kann. Dazu gehört viel Wissen was man da genau macht. Das kann recht schnell nach hinten losgehn. Der Tipp oben war wirklich ernst und gut gemeint.

[encbladexp]

ist evtl ein wenig brutal - aber man kann ja immernoch ein wenig abspecken - was sagt ihr dazu?

Naja, ich als Mailserverlaie würde sagen das man es so lassen kann, wenn es denn richtig funktioniert... Ich würde mir am besten ein paar E-Mail's von anderen Leuten schicken lassen, damit man auch sieht ob das wirklich klappt...

Ganz nett könnte vielleicht auch noch:
http://www.easykaktus.de/serveradminist ... esser.html

mfg Betz Stefan

[st-cb]

@ duergner: aus diesem grund habe ich ja auch "ist evtl ein wenig brutal" geschrieben. aber es handelt sich hier nur um einen backup-server an dem mal ein wenig getestet werden aknn.


der normaler server hat solche spässchen nicht ;-)


aber es sollte dennoch irgendwie vernünftig möglich sein solche gegebenheiten zu blocken.

[duergner]

Ich persönlich finde Greylisting keine sinnvolle Alternative. Damit belastet man nur konforme Mailserver viel stärker da die die Mails länger in der Queue halten müssen.

[encbladexp]

Ich persönlich finde Greylisting keine sinnvolle Alternative. Damit belastet man nur konforme Mailserver viel stärker da die die Mails länger in der Queue halten müssen.

Richtig, aber man hat deutlich weniger SPAM (jedenfalls solange die SPAM-Versender nicht darauf eingehen), desweiteren haben die "großen" Mailserver mehr als genug Reserven...

Und so viel mehr belastung ist das auch wieder nicht... Da gibt es denke ich schlimmeres...

mfg Betz Stefan

[felixs]

Ich persönlich finde Greylisting keine sinnvolle Alternative. Damit belastet man nur konforme Mailserver viel stärker da die die Mails länger in der Queue halten müssen.

Deswegen macht man Greylisting imho nur für Clients, die eine dynamische IP bekommen haben.

fs

[duergner]

Das macht AFAIK kaum jemand. Und das bringt auch kaum was da man diese Bereiche wenn dann sowieso komplett blockt.