postfix config

[r00ty]

Hallo...
also ich setzt grad mal ne neue (hoffentlich sichere) Postfix config auf...
nachdem ich jetzt hier im Forum gelesen habe, auf http://www.postfix.org und sonst im Netz sind noch ein paar Fragen offen, vielleicht kann mir ja einer weiterhelfen (p.s.: meine Config: Suse 8.1 + 1und1 + postfix + Confixx):

1. es geht um $mydestination
die Config sagt:

# The mydestination parameter specifies the list of domains that this
# machine considers itself the final destination for. That includes
# Sendmail-style virtual domains hosted on this machine.

default 1und1 Einstellung:

Code: Select all

mydestination = $myhostname, localhost.$mydomain, $mydomain, smtp.$mydomain

1und1 howto:

Code: Select all

mydestination = $myhostname, $mydomain, localhost.$mydomain

da fehlt offensichtlich das smtp.$mydomain. Aber ich blicks ned. Das $mydestination steht doch, wenn er es nicht weiterleiten soll, und wann ist bitte die Empfängeradresse smtp.meinedomain.tld ? Was macht es aus dies wegzulassen ?

2. relay_domains = $mydestination
was macht das genau ?
die Config sagt:

# The relay_domains parameter restricts what clients this mail system
# will relay mail from, or what destinations this system will relay
# mail to.

meine Meinung: nur Mails von meinem Server können gerelayed werden...
aber $mydestination ist doch zuwenig, da muss ich doch auch noch die ganzen anderen Domains reinnehmen, die ich auf meinem Server habe
1und1 FAQ:

Code: Select all

relay_domains = $mydestination, hash:/usr/local/etc/postfix/relaydomains

neu:
hash:/usr/local/etc/postfix/relaydomains
okay, da sollte ich jetzt ne Liste drin haben, in die alle meine Domains habe...
irgendwie muss man das compilieren, damit die .db funktioniert
wie war nochmal der Befehl ?
zudem: ich hab keine Lust, die Liste immer per Hand zu aktualisieren - geht das irgendwie auch automatisch (confixx ?) ? geht es auch ohne den Eintrag ?

3. smtpd_recipient_restrictions
ich hab folgendes:

Code: Select all

smtpd_recipient_restrictions = permit_sasl_authenticated, reject_maps_rbl, reject_unauth_destination

um was gehts bei smtpd_recipient_restrictions ?
config sagt:

The smtpd_client_restrictions parameter restricts what clients this system accepts SMTP connections from.

okay, alles klar - also nur die Leute, die sasl_authenticated sind dürfen über meinen Server schicken. so solls ja sein...
hmmm und permit_mynetworks für was braucht man das ?

4. newbie Frage: :oops:
ich hab das ganze mit den Relays noch nicht ganz kapiert...
also Relay = Weiterleiten, soweit kann ich englisch
also nach den Einstellungen oben kann SMTP nur ober Auth gehen, also kann über das niemand Relayen... oder doch ?
ich hab hier nochmal meine ganze Config gepostet - fällt jemanden noch ne Sicherheitslücke auf ?

Code: Select all

queue_directory = /var/spool/postfix
command_directory = /usr/sbin
daemon_directory = /usr/lib/postfix
mail_owner = postfix
default_privs = autoresp
myhostname = p01234567.pureserver.info
mydomain = meinedomain.tld
inet_interfaces = all
mydestination = $myhostname, localhost.$mydomain, $mydomain, smtp.$mydomain
mynetworks_style = host
local_recipient_maps = $alias_maps unix:passwd.byname
in_flow_delay = 0
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
mail_spool_directory = /var/mail
fast_flush_domains = $relay_domains
smtpd_banner = $myhostname ESMTP $mail_name
debug_peer_level = 2
debugger_command =
	 PATH=/usr/bin:/usr/X11R6/bin
	 xxgdb $daemon_directory/$process_name $process_id & sleep 5
sendmail_path = /usr/sbin/sendmail
newaliases_path = /usr/sbin/sendmail
mailq_path = /usr/bin/mailq
setgid_group = maildrop
manpage_directory = /usr/share/man
sample_directory = /usr/share/doc/packages/postfix/samples
readme_directory = /usr/share/doc/packages/postfix/README_FILES
maps_rbl_domains = relays.ordb.org proxies.relays.monkeys.com formmail.relays.monkeys.com proxy.relays.osirusoft.com socks.relays.osirusoft.com 

#suseconfig:
canonical_maps = hash:/etc/postfix/canonical
virtual_maps = hash:/etc/postfix/virtual, hash:/etc/postfix/confixx_virtualUsers, hash:/etc/postfix/confixx_localDomains
relocated_maps = hash:/etc/postfix/relocated
transport_maps = hash:/etc/postfix/transport
sender_canonical_maps = hash:/etc/postfix/sender_canonical
masquerade_exceptions = root
masquerade_classes = envelope_sender, header_sender, header_recipient
inet_interfaces = all
masquerade_domains = meinedomain.tld

#smtpd auth
smtpd_sender_restrictions = hash:/etc/postfix/access
smtpd_client_restrictions = 
strict_rfc821_envelopes = no
smtpd_recipient_restrictions = permit_sasl_authenticated, reject_maps_rbl, reject_unauth_destination
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
broken_sasl_auth_clients = yes

#tls
smtpd_use_tls = yes
smtpd_tls_auth_only = yes
smtpd_tls_key_file = /etc/postfix/key.pem
smtpd_tls_cert_file = /etc/postfix/cert.pem
smtpd_tls_CAfile = /etc/postfix/cacert.pem
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
tls_random_source = dev:/dev/urandom

passt das so ? anscheinend wurde mein Server nämlich die letzten Tage als Spam-Versand server genutzt. Ich hab tonnenweise reply-mails an caro@einemeinerdomains.tld bekommen. Und deshalb hab ich die Config so angepasst und würde gerne meine postfix wieder starten, dass ich endlich mal wieder Emails empfangen kann... wäre echt genial, wenn mir der ein oder andere an der ein oder anderen Stelle weiterhelfen könnte :)
Vielen Dank schonmal

[r00ty]

http://www.abuse.net/relay.html

Relay test result
All tests performed, no relays accepted.

*freu*

ich würde mich aber doch über die eine oder andere Antwort freuen

[squize]

Das du dir Doku reinziehst ist schon einmal sehr gut, leider hast du sie nicht ganz verstanden, da so ein MTA dann doch ein bissen komplexer ist :-D :-D :-D

$mydestination

Für alles was unter mydestination angegeben wird fühlt sich postfix zuständig,
Jetzt könnte man meinen, wo bleiben meine virtualdomains usw.
In Mydestination sollte nur die wirkliche Addresse deiner Kiste angeben werden, alles andere wird über andere Einträge erledigt, die extra dafür geschaffen wurden.
Falls du eine domain domain.tld hast, die folgende Subdomains hat:

mail
smtp
server

So kannst du folgendes in mydestination schreiben
myhostname = server.domain.tld
mydomain = domain.tld
mydestination = $myhostname , $mydomain , localhost.$mydomain, smtp.$mydomain, mail.$mydomain


2. Postfix relayed grundsätzlich mydomain, mydestination,mynetworks

relay_domains = $mydestination, hash:/usr/local/etc/postfix/relaydomains
Grundsätzlich solltest du auf so etwas verzichten ( auf den 2. Eintrag). Wenn du jetzt hier alle deine Domains reinschreibst, dann muss nur jemand die Herkunft seiner Packete fälschen und schon kann er mächtig mails verschicken.





3. Der Unterschied bei den restriction classes liegt am Zeitpunkt der Ã?berprüfung. recipient_restriction wird bei der Eingabe des RCPT TO: Befehls gescheckt, client_restriction wird schon bei der Eingabe des FROM: gescheckt.
Da ja alle Leute Mails lokal zustellen sollen ist es unvorteilhaft hier schon alle rauszuschmeissen, die sich nicth authentifizieren, da du dann ja keine Mails mehr bekommst.

4. Du hast einige Einträge doppelt und je nachdem welcher genommen wird hast du einen Offen Relay, schau also, dass du ganz schnell die doppelten Einträge entfernst!!!!!!!!!!!!

Und Ausserdem, schu das du ebenfalls so schnell als auch möglich deine Originaldaten rausschmeisst.

Ã?berleg mal, du hast vielleicht einen offen Relay und postest hier in einem Forum, wo jerdrmann weiss hier tummeln sich ein Haufen Leute, die nicht sehr viel Ahnung haben. Der optimale Platz, um sich IP's von potentiell schlecht konfigurieten Kisten zu besorgen.

Das gleicht einer Einladung

Gruss

Marc

[r00ty]

so, vielen vielen Dank für den Hinweis Nr.4
Da ist mir doch glatt ein Eintrag durch die Lappen gegangen.... Schon kriminell :roll:

und doppelte Einträge find ich ned... bin ich blind (wahrscheinlich schon *g*)