Postfix-Beschränkungen

  • Thread starter Thread starter Deleted member 14254
  • Start date Start date
D

Deleted member 14254

Guest
Hallo zusammen,

ich habe gestern meine main.cf um einige Restrictions ergänzt, da ich blacklisted-Domains/IP ausschließen wollte (aufgrund einiger Angriffe in den letzten Tagen).

Meine Restrictions waren bisher:

Code: 
smtpd_sender_restrictions = reject_non_fqdn_sender
smtpd_reject_unlisted_sender = yes
smtpd_recipient_restrictions = permit_mynetworks, reject_non_fqdn_recipient, permit_sasl_authenticated, reject_unauth_destination, check_policy_service inet:127.0.0.1:2525

Die NEUEN sind wie folgt:

Code: 
# Restrictions

disable_vrfy_command = yes

smtpd_sasl_auth_enable = yes
smtpd_helo_required = yes
smtpd_delay_reject = yes
smtpd_reject_unlisted_sender = yes
smtpd_reject_unlisted_recipient = yes

smtpd_helo_restrictions =
        permit_sasl_authenticated,
        permit_mynetworks,
        reject_invalid_hostname,
        reject_non_fqdn_hostname,
        reject_unknown_hostname,
        permit

smtpd_sender_restrictions =
        permit_sasl_authenticated,
        permit_mynetworks,
        reject_non_fqdn_sender,
        reject_unknown_address,
        reject_unknown_sender_domain,
        permit

smtpd_recipient_restrictions =
        permit_sasl_authenticated,
        permit_mynetworks,
        reject_unauth_pipelining,
        reject_unauth_destination,
        reject_non_fqdn_sender,
        reject_non_fqdn_recipient,
        reject_unknown_sender_domain,
        reject_unknown_recipient_domain,
        reject_invalid_hostname,
        reject_non_fqdn_hostname,
        reject_rbl_client zen.spamhaus.org,
        check_policy_service inet:127.0.0.1:2525,
        permit

smtpd_data_restrictions =
        reject_unauth_pipelining,
        reject_unauth_destination,
        permit

Direkt OpenRelayCheck gemacht, der mir als Resultat "No Open Relays allowed by this machine" ausgab.

Allerdings habe ich im F2B-Log nun folgendes:

Code: 
2013-01-08 04:25:30,990 fail2ban.filter : WARNING Determined IP using DNS Reverse Lookup: server.domain.tld = ['127.0.0.1', '127.0.0.1', 'server-ip']
2013-01-08 04:25:31,011 fail2ban.filter : WARNING Determined IP using DNS Reverse Lookup: server.domain.tld = ['127.0.0.1', '127.0.0.1', 'server-ip']

Ist dies in der "internen" UND externen DNS-Adressauflösung begründet? Also 127.0.0.1 ist die Server-Loopback-Adr. bzw. -klar- localhost. Nach aussen hin ist der Server über die IP sowie Domain zu erreichen. Verstehe nur nicht, warum d2b daraus eine "Warning" formuliert...

Im mail.log (beim OpenRelayCheck entstanden) dies:

Code: 
Jan  8 03:34:36 servername postfix/trivial-rewrite[29174]: warning: valid_ipv4_hostaddr: invalid character 115(decimal): servername.domain.tld

Was ist dort mit "invalid-charakter" gemeint?

Die (neuen) Restrictions sind doch in Ordnung, oder gibt es da Einwände?

Wäre Klasse, wenn ihr da mal drüberschauen könntet. Ich habe vorhin schon bezüglich der Warnings gegooglet, aber wurde nur bedingt fündig (Sachlage undurchsichtig).

Vielen Dank im Voraus :) Lyncht mich bitte nicht, sollte der Fehler sonnenklar auf der Nase liegen ;)
 
Last edited by a moderator:
Vielen Dank für die zahlreichen Posts! Ich konnte mich kaum entscheiden, welchen Nuancen ich nachgehen sollte :D

Hätte wahrscheinlich nochmehr Posts gegeben, hätte mein Thema - "Gehacked, mein Server blacklisted - Hilfe, was tun?!" - geheißen...

Dann hätte man sich wahrscheinlich wie die Aasgeier auf mich gestürzt... "NOCH eine Spamschleuder, WEGEN SOLCHEN, WIE D I R..." usw...

Schade. Wieder eine Lehre - und man lernt ja - bekanntlich nie aus -. Als Member des SSF wird einem das noch viel öfter bewußt...

Angenehme Woche dann noch und Danke nochmals vielmals für die viele großartige Hilfe!
 
Gestern um 7:50 eine Anfrage gestellt und heute um 6:24 schon beleidigt weil keiner geantwortet hat?

Lächerlich...

Evtl. muß man erst das Problem analysieren oder man geht (nebenbei) noch arbeiten und hat(te) keine Zeit?

Mit Deiner Reaktion nach nicht einmal 24 Stunden nach Threaderstellung motivierst Du evtl. Helfer nicht gerade.

Gruß

Ulf
 
Hallo,

gleich mal vorneweg: jedenfalls für mich ist postfix zu komplex, um eine Antwort "mal eben so aus der Hüfte zu schießen". Sich nach nicht mal 24h zu beklagen, finde ich schon mehr als sportlich.

ich habe gestern meine main.cf um einige Restrictions ergänzt, da ich blacklisted-Domains/IP ausschließen wollte (aufgrund einiger Angriffe in den letzten Tagen).
Click to expand...

Das ist m.E. der falsche Ansatz. Wenn dein smtpd nicht völlig offen ist, dann sind die Connects herzlich egal. Du kannst aber die IP-Adressen in deine Firewall eintragen und gut ist.

Ich persönlich setze da mehr auf postscreen. Das limitierte nebenbei gleich noch die Anzahl der Spam-Mails.

Ich kann dir meine postfix-Settings schicken. Irgendwas fehlt bei dir mit Sicherheit. ;)

Code: 
2013-01-08 04:25:30,990 fail2ban.filter : WARNING Determined IP using DNS Reverse Lookup: server.domain.tld = ['127.0.0.1', '127.0.0.1', 'server-ip']
2013-01-08 04:25:31,011 fail2ban.filter : WARNING Determined IP using DNS Reverse Lookup: server.domain.tld = ['127.0.0.1', '127.0.0.1', 'server-ip']
Click to expand...

Was steht denn in /etc/hosts ?

Auf sind denn "mydomain" und "myorigin" gesetzt?

Die (neuen) Restrictions sind doch in Ordnung, oder gibt es da Einwände?
Click to expand...
Meine sehen komplett anders aus:
Code: 
smtpd_client_restrictions = check_client_access mysql:/etc/postfix/mysql-virtual_client.cf, permit_mynetworks, permit_sasl_authenticated
smtpd_helo_restrictions =
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, check_recipient_access mysql:/etc/postfix/mysql-virtual_recipient.cf, check_client_access hash:/etc/postfix/backupmx, reject_unauth_destination
smtpd_sender_restrictions = check_sender_access regexp:/etc/postfix/tag_as_originating.re, permit_mynetworks, permit_sasl_authenticated, check_sender_access mysql:/etc/postfix/mysql-virtual_sender.cf, check_sender_access regexp:/etc/postfix/tag_as_foreign.re
 
Neutrino_2003 said:
Vielen Dank für die zahlreichen Posts! Ich konnte mich kaum entscheiden, welchen Nuancen ich nachgehen sollte :D
...
Angenehme Woche dann noch und Danke nochmals vielmals für die viele großartige Hilfe!
Click to expand...
Bitte gern geschehen - hier ist Ihr Fisch: <°)))>< ...

Zum Thema: Die restrictions in der "neueren" Fassung der main.cfg sind mehrfach doppelt gemoppelt. Einfach nochmal nachschauen in welcher Reihenfolge welche restrictions greifen, dann wird nämlich klar, dass die vorherige Konfig sinnvoller war.
 
Ja, woher sollen wir nach 10 Sekunden wissen, was du verbastelt hast. Da kannst du nicht mal einen Tag warten? Wenn du sowas willst, bucht kostenplichtig Support bei deinem Hoster oder bezahle hier ein paar Leute. :(

Nur eine Problemzeile des Maillogs?
mach mal ein grep nach 29174 im maillog. Dann siehste vielleicht woran es lag.

Oder einfach mal
Code: 
sed -n '1,/valid_ipv4_hostaddr/d;/smtpd/p' /var/log/maillog | head
 
Last edited by a moderator:
Moin zusammen :)

Ach Leute, hängt mich doch net direkt auf ;) SO "beschwerdeformuliert" war mein Post doch nu wirklich nicht, oder? Und warum ich dachte, das mir keiner antworten mag, kann ich leicht begründen: Unter "Security" hatte ich vor einigen Monaten mal eine Frage zu f2b gestellt: Da ging es darum, warum Multiports als "Target" nicht griffen. Niemand konnte dazu etwas beitragen, da die meisten hier Debian nutzen und dort die benötigten Kernelmodule "per se" aktiv sind. Ich habe aber gentoo mit manuellem Kernel und habe zufällig beim Forschen entdeckt, das "xt-Target 'multiport'" nicht im Kernel einkompiliert war. Nur fand ich das erst nach einiger Zeit heraus, weshalb auch solange f2b nicht ordnungsgemäß lief. Da habe ich auch jeden Tag daran gedacht, das von den anwesenden Profis, die ich ja...

GwenDragon said:
Wenn du sowas willst, bucht kostenplichtig Support bei deinem Hoster oder bezahle hier ein paar Leute. :(
Click to expand...

bezahlen soll, jemand mir einen "Wink" geben würde.

Aber da will ich nicht nachkarten. Warum kostenpflichtiger Support? Es ging doch hauptsächlich nur um eine "Abstimmung" von Settings, die ich da besprochen haben wollte...

TerraX said:
Zum Thema: Die restrictions in der "neueren" Fassung der main.cfg sind mehrfach doppelt gemoppelt. Einfach nochmal nachschauen in welcher Reihenfolge welche restrictions greifen, dann wird nämlich klar, dass die vorherige Konfig sinnvoller war.
Click to expand...

Ich habe sie nocheinmal überarbeitet und günstiger/sinnvoller aufgebaut. Doch habe ich nun auch schonmal viel weniger Logins von Schurkenadressen - bis jetzt jedenfalls...

Die neue Aufstellung der Restrictions (sowie überarbeitete Form) hatte ich aus mehreren Postfix-HowTo's entwickelt. Warum das "doppeltgemoppelt" sein soll, verstehe ich im Moment nicht, denn nirgends hatte ich eine so schüchterne Restrictions gesehen, wie ich sie vor der Umstellung hatte.

Hast Du vielleicht eine gute Seite, wo die Restrictions wirklich sehr detailliert erklärt sind? Ich würde gerne mehr darüber erfahren.

florian030 said:
Das ist m.E. der falsche Ansatz. Wenn dein smtpd nicht völlig offen ist, dann sind die Connects herzlich egal. Du kannst aber die IP-Adressen in deine Firewall eintragen und gut ist.
Click to expand...

Bedingt. Ich könnte über IPTables verdächtige Adressen sperren oder per Script gar bestimmte Staaten blockieren, aus denen besonders viel Spam kommt. Doch könnte sich das beißen mit dem, was f2b eigenständig an Regeln einsetzt - im Fall von Versuchen, den Server anzugreifen.

florian030 said:
Irgendwas fehlt bei dir mit Sicherheit. ;)
Was steht denn in /etc/hosts ?
Auf sind denn "mydomain" und "myorigin" gesetzt?
Click to expand...

Code: 
/etc/hosts
127.0.0.1       servername.meine-domain.tld    servername          localhost
::1             servername.meine-domain.tld    servername          localhost
server-ip      servername.meine-domain.tld

In der Postfix-Config (main.cf) ist mydomain auf "meine-domain.tld"
gesetzt. Das Einzige, was mir einfiel, mal nachzusehen, was bei myorigin steht. Möglich, das ich das beim Anpassen Config nach dem letzten Upgrade von Postfix überlesen habe... - Wenn, dann Schande über mein Haupt...

Perry_Rhodan said:
Gestern um 7:50 eine Anfrage gestellt und heute um 6:24 schon beleidigt weil keiner geantwortet hat?

Lächerlich...

Evtl. muß man erst das Problem analysieren oder man geht (nebenbei) noch arbeiten und hat(te) keine Zeit?

Mit Deiner Reaktion nach nicht einmal 24 Stunden nach Threaderstellung motivierst Du evtl. Helfer nicht gerade.
Click to expand...

Daran liegt es nicht, man sagte mir bereits, das, wenn ich was "wolle", ich kostenpflichtigen Support beauftragen soll. :(
 
Neutrino_2003 said:
...Die neue Aufstellung der Restrictions (sowie überarbeitete Form) hatte ich aus mehreren Postfix-HowTo's entwickelt. Warum das "doppeltgemoppelt" sein soll, verstehe ich im Moment nicht, denn nirgends hatte ich eine so schüchterne Restrictions gesehen, wie ich sie vor der Umstellung hatte.

Hast Du vielleicht eine gute Seite, wo die Restrictions wirklich sehr detailliert erklärt sind? Ich würde gerne mehr darüber erfahren...
Click to expand...
Ja: http://www.postfix.org/SMTPD_ACCESS_README.html#lists
 
You must log in or register to reply here.
Back
Top