(Open)Relayproblem mit Postfix

[pennywize]

Hi,

ich hab gerade auf meinem Server Postfix installiert und muss feststellen, man kann ohne Authentifizierung Mails verschicken, sprich hab ein Open Relay.
Keine Sorge, bis zur Lösung des Problems ist dieser deaktiviert. Kann jetzt nicht erkennen wieso und warum der als OpenRelay Server dienen würde.
Es handelt sich um Postfix auf Debian Etch und hier sind die relevanten Auszüge aus der main.cf

Code: Select all

relayhost = 

smtpd_sasl_auth_enable = yes
smtpd_sasl_security_option = noanonymous
broken_sasl_auth_clients = yes
smtpd_recipient_restrictions = permit_mynetworks, reject_unknown_recipient_domain, permit_sasl_authenticated, reject_unauth_destination
smtpd_use_tls = yes
smtpd_tls_key_file = /etc/postfix/domain.key
smtpd_tls_cert_file = /etc/postfix/domain.crt
smtpd_tls_loglevel = 3
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
tls_random_source = dev:/dev/urandom

Authentifizierung erfolgt über LDAP. Kann mir jemand weiterhelfen wo die Lücke entsteht?

Nachtrag:
Was an der Sache merkwürdig ist, versuche ich per Outlook die Mail zu versenden, beschwert man sich das der gefakte User sich nicht identifizieren kann. Mail wird nicht versendet. Da kann ich machen was will.
Nehme ich Thunderbird, passiert zuerst das selbe. Es erscheint, Authentifizierung fehlgeschlagen. Bleibe ich hartnäckig und klicke auf erneut versenden, bzw. quittiere die Passwortabfrage mit irgendetwas, wird nach 2-3 Versuchen die Mail doch versendet. :roll:
Verbinde ich mich per telnet mit dem Server und versuche so eine Mail zu versenden: 554 denied... wie es sein muss.

MfG Jasmin

[daemotron]

smtpd_sasl_security_options = noanonymous

[pennywize]

smtpd_sasl_security_options = noanonymous

Oooppsss, danke. Hab es ebend geändert, Postfix gestartet und noch immer das selbe. Thunderbird meldet immer, Authentifizierung fehlgeschlagen, aber wenn ich in das Mailkonto des Empfängers schaue: die Mail wurde trotzdem versendet 8O

Danke für den Hinweis mit dem s, daß bei dem Kommando fehlte.

Gruss Jasmin

[sledge0303]

Sehr komisch dein 'Problem'... obwohl man von einem offenen Relay eigentlich nicht so richtig sprechen kann.
Du hast mich aber auf eine Idee gebracht, werde mal nachher bei mir testen hartnäckig eine Mail mit einem erfunden User/Domain zu versenden.
Evtl. hat auch Postfix einen Bug. Jedenfalls sieht deine main.cf gut aus und kann das geschilderte nicht so richtig nachvollziehen.

[daemotron]

Ich hab das mal bei mir versucht nachzustellen, aber mein Postfix weigert sich standhaft, Mails von nicht oder falsch authentifizierten Usern anzunehmen, wenn diese "nach draußen" adressiert sind. Getestet hab ich mit Thunderbird 2, per Telnet, ssmtp und mit pine (Postfix 2.4.1)

[sledge0303]

@jfreund

Die Konfiguration ist ja ok, aber:

[Fluchmodus an]
So ein Schei#dreck!!! Heilige Schei#e!!!
Bei der Etch Kiste hab ich das selbe festgestellt, Postfix weigert sich eigentlich wegen der Anmeldung des 'Users' und stellt trotzdem die erste Mail zu!!!!
[Fluchmodus aus]
Mit Outlook gehts nicht, aber mit Thunderbird!
Bei meinen Sarge Produktivservern klappt es bei exakter Konfiguration nicht!

Über telnet wird eine Versendung standhaft verweigert...Outlook auch.
Version 2.3.8

Frage: hat jemand das selbe auf seinen Etch Kisten festgestellt???
Wenn ja, dann muss sich ein Bug im Etch-Postfix befinden. Teste das erst nach Pfingsten, bin schon halb auf der Autobahn.

[compositiv]

aber wenn ich in das Mailkonto des Empfängers schaue: die Mail wurde trotzdem versendet

Ich bin nicht sicher, ob ich das richtig verstanden habe. Aber für lokale Nutzer sollen Mails ja i.d.R. ohne Authentifizierung angenommen werden, nur für externe nicht.

Wenn auch Mails für lokale Nutzer nicht ohne Authentifizierung angenommen werden sollen, am besten noch

Code: Select all

reject

an smtpd_recipient_restrictions anhängen.[/code]

[sledge0303]

Nein, es ist weder ein OpenRelay noch ein Bug im Postfix. Mich hatte diese Nachricht etwas verunsichert und weil es auch klappte...

Mach mal folgendes, Pennywize. Du hast bestimmt 2 SMTP Accounts zu stehen und der funktionierende steht entweder auf 'default' oder in der Liste.
Nimm den mal komplett raus oder verändere mal dessen Passwort, falls es gespeichert wurde.
Thunderbird nimmt zuerst den SMTP Zugang des Fakeusers, meldet das dieser User sich nicht anmelden kann. Während dieses Passwort des Fakeusers nochmal eingegeben werden muss, sendet Thunderbird diese Mail mit dem anderen SMTP Account des 'realen' Users raus.
Wenn der reale User verschwunden ist, klappt die ganze Geschichte auch nicht.

HTH