Postfix - keine falsche Absenderadresse zulassen

[dannyl]

Hi, ich such ja jetzt schon einige Tage, doch hab ich leider noch keine Möglichkeit gefunden.
Ich möchte gerne erreichen, dass über Postfix nur Absenderadressen zugelassen werden, welche auch gehostet sind.
Hat denn jemand eine Idee wie man das erreichen kann? Bin fast am verzweifeln.

 

[Joe User]

Bitte zunächst mal die Ausgabe von

postconf -n

 

[dannyl]

Also dann erstmal die postconf -n Ausgabe:

postconf -n
alias_maps = mysql:/etc/postfix/mysql-aliases.cf
append_at_myorigin = no
append_dot_mydomain = no
biff = no
broken_sasl_auth_clients = yes
config_directory = /etc/postfix
disable_vrfy_command = yes
home_mailbox = Maildir/
inet_interfaces = 192.168.2.9
mailbox_command = /usr/bin/procmail-wrapper -o -a $DOMAIN -d $LOGNAME
mailbox_size_limit = 0
message_size_limit = 52428800
milter_default_action = accept
milter_protocol = 2
mydestination = $myhostname, localhost.$mydomain, $mydomain, 127.0.0.1
mydomain = mail2.localdomain
mynetworks = 127.0.0.1  192.168.2.0/24
mynetworks_style = host
myorigin = $mydomain
non_smtpd_milters = inet:8891,inet:8892
readme_directory = no
recipient_delimiter = +
sender_bcc_maps = hash:/etc/postfix/bcc
smtp_tls_note_starttls_offer = yes
smtp_tls_security_level = may
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
smtpd_client_restrictions = permit_sasl_authenticated	permit_mynetworks	reject_unknown_client	reject_unknown_reverse_client_hostname
smtpd_delay_reject = yes
smtpd_error_sleep_time = 0
smtpd_helo_required = yes
smtpd_milters = inet:8891,inet:8892
smtpd_recipient_restrictions = reject_unlisted_recipient	reject_unknown_sender_domain	reject_unknown_recipient_domain	permit_sasl_authenticated	permit_mynetworks	reject_invalid_hostname	reject_non_fqdn_sender	reject_non_fqdn_recipient	reject_unauth_destination	check_policy_service inet:127.0.0.1:60000	reject_unknown_reverse_client_hostname	permit
smtpd_sasl_auth_enable = yes
smtpd_sasl_authenticated_header = yes
smtpd_sasl_exceptions_networks = $mynetworks
smtpd_sasl_local_domain = $myhostname
smtpd_sasl_path = private/auth
smtpd_sasl_security_options = noanonymous
smtpd_sasl_type = dovecot
smtpd_sender_restrictions = permit_mynetworks	permit_sasl_authenticated	reject_non_fqdn_sender	reject_unknown_sender_domain	reject_unknown_address	reject_unlisted_sender
smtpd_tls_cert_file = /etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file = /etc/ssl/private/ssl-cert-snakeoil.key
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_security_level = may
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
strict_rfc821_envelopes = yes
virtual_alias_maps = mysql:/etc/postfix/mysql-virtual_alias_maps.cf
virtual_transport = dovecot

 

[dannyl]

Hat denn niemand auch nur den kleinsten Denkansatz?

 

[Roger Wilco]

http://www.postfix.org/postconf.5.html#reject_sender_login_mismatch
http://www.postfix.org/postconf.5.html#smtpd_sender_login_maps

 

[Bluewind]

http://www.postfix.org/postconf.5.html#reject_sender_login_mismatch

Ich würde eher zu http://www.postfix.org/postconf.5.html#reject_authenticated_sender_login_mismatch raten.
Grund(diskussion) gibts hier: https://listi.jpberlin.de/pipermail/postfixbuch-users/2010-September/054522.html

 

[Roger Wilco]

Deine Mail an die Postfix-Liste geht von einer falschen Prämisse aus: Wenn GMX E-Mails weiterleitet, wird natürlich nicht das gleiche Envelope-From verwendet, wie bei der Einlieferung der E-Mail bei GMX. Das gäbe auch unsägliche Probleme mit SPF, welches GMX einsetzt.

Stattdessen wird das bei der Einlieferung verwendete Envelope-From gemäß SRS umgeschrieben und dieses Resultat dann als Envelope-From bzw. MAIL FROM bei der Weiterleitung benutzt, d. h. es gibt eben keine Probleme mit der Restriction reject_sender_login_mismatch – außer bei hirnlos konfigurierten Mailsystemen, welche das Envelope-From bei einer Weiterleitung nicht umschreiben.

Die haben es IMHO aber nicht anders verdient. Ansonsten betrifft diese Restriction, wie Udo Drießen in der von dir verlinkten Diskussion ebenfalls erwähnt hat, zu 99% Spam-Mails, welche man nicht empfangen will.

 

[Bluewind]

Deine Mail an die Postfix-Liste geht von einer falschen Prämisse aus: Wenn GMX E-Mails weiterleitet, wird natürlich nicht das gleiche Envelope-From verwendet, wie bei der Einlieferung der E-Mail bei GMX.

Ich hab jetzt nochmal testweise eine Mail mit meiner Addresse als Absender an meine Weiterleitung bei GMX geschickt und in meinem postfix (natürlich nur softbounce) auf reject_sender_login_mismatch umgestellt und siehe da:

NOQUEUE: reject: RCPT from mx0.gmx.net[213.165.64.100] 453 4.7.1 <flo@server-speed.net>: Sender address rejected: not logged in; from=<flo@server-speed.net> to=<bluewind@server-speed.net> proto=SMTP helo=<mx0.gmx.net>

 

[Roger Wilco]

„Mein” GMX macht das anders.

E-Mail an GMX mit MAIL FROM einer meiner Domains verschicken:

$ nc6 mx0.gmx.net 25
nc6: using stream socket
220 mx0.gmx.net GMX Mailservices ESMTP {mx023}
EHLO example.com
250-mx0.gmx.net GMX Mailservices
250-8BITMIME
250-ENHANCEDSTATUSCODES
250 SIZE
MAIL FROM:<rwilco@example.com>
250 2.1.0 ok {mx023}
RCPT TO:<Roger-Wilco@gmx.net>
250 2.1.5 ok {mx023}
DATA
354 mx0.gmx.net Go ahead {mx023}
Subject: Test

Test
.
250 2.6.0 Message accepted {mx023}
quit
221 2.0.0 GMX Mailservices {mx023}

Mail Log des laufenden MTAs (in diesem Fall Exim, allerdings analog zum Effekt von reject_sender_login_mismatch in Postfix konfiguriert); MAIL FROM des einliefernden Mailservers fett markiert:

2010-09-09T11:48:04 example.com exim[4813]: 2010-09-09 11:48:04 1Otdjg-0001Fd-Nn 
<= [b]SRS0=v7IR=QN=example.com=rwilco@gmx.net[/b] H=mx0.gmx.net [213.165.64.100] 
P=smtp S=1742 id=20100909094759.8208gmx1@mx023.gmx.net T="Test"

 

[Bluewind]

„Mail Log des laufenden MTAs (in diesem Fall Exim, allerdings analog zum Effekt von reject_sender_login_mismatch in Postfix konfiguriert); MAIL FROM des einliefernden Mailservers fett markiert:

2010-09-09T11:48:04 example.com exim[4813]: 2010-09-09 11:48:04 1Otdjg-0001Fd-Nn 
<= [B]SRS0=v7IR=QN=example.com=rwilco@gmx.net[/B] H=mx0.gmx.net [213.165.64.100] 
P=smtp S=1742 id=20100909094759.8208gmx1@mx023.gmx.net T="Test"

Hab mir im Postfixbuch nochmal das Kapitel über SPF angeschaut aber nichts davon gelesen, dass am zum Empfangen etwas bestimmtes machen müsste.

Hab auch mal ngrep angeworfen und sehe dort nur:

> 220 karif.server-speed.net ESMTP Postfix
< HELO mx0.gmx.net
> 250 karif.server-speed.net
< MAIL FROM:<flo@server-speed.net>
[...]

Muss man SRS support im HELO (nicht EHLO) announcen? Bei HELO darf doch außer 250 (oder Fehlern) nichts zurückkommen oder?

 

[Roger Wilco]

Hab mir im Postfixbuch nochmal das Kapitel über SPF angeschaut aber nichts davon gelesen, dass am zum Empfangen etwas bestimmtes machen müsste.

Das ist auch Sache von GMX. Ich weiß nicht, weshalb bei Zustellungen zu meinen MTAs SRS verwendet wird und bei dir nicht.

Muss man SRS support im HELO (nicht EHLO) announcen?

Nein, wieso auch? DKIM, S/MIME oder PGP kündigt man da ja auch nicht an.

Bei HELO darf doch außer 250 (oder Fehlern) nichts zurückkommen oder?

Ja.

 

[dannyl]

OK, vielen Dank für die vielen Antworten, ich hab mich jetzt für http://www.postfix.org/postconf.5.html#reject_sender_login_mismatch entschieden, da es das ist was ich erreichen wollte.