[Postfix] mit einer Authentifizierung senden mit jeder Absenderadresse möglich

T

test123

New Member
Hallo SSF,

ich habe soeben eine Merkwürdig meines kleinen Servers festgestellt. Mit der richtigen Authentifizierung kann ein User jede andere vorhandene Adresse als Absender benutzen.

Heißt am Beispiel:

klaus kann mit seinen Benutzerdaten:
-Login:klaus@domain.com-
-Passwort: 12345-
per Mailclient als Absender: admin@domain.com versenden.

Der Server ist also kein "offenes Relay". Ohne Passwort, oder mit nicht vorhandener Adresse läßt sich nicht versenden.
Postfix scheint aber, nach irgendeiner richtigen Authentifizierung ein Versenden mit jeder Absenderadresse zu erlauben.

Jetzt stehe ich ein bisschen auf dem Schlauch und weiß nicht mehr nach welchen Stichworten ich noch googln soll, oder an welcher Stelle sich dieses Verhalten konfigurieren läßt.

Kann mir da jemand weiter helfen?

Vielen Dank!
 
The "reject_unknown_sender_domain" restriction blocks mail from non-existent domains. Putting this before "reject_unverified_sender" avoids the overhead of generating unnecessary probe messages.
Click to expand...

Ich denke das hilft dir gehört in den Block smtpd_sender_restrictions.
 
Hallo CentY und danke für deine Hilfe.
Leider bringt das keine Änderung.
Um sicher zu gehen das ich es richtig eingefügt habe, hier mal ein Auszug aus meiner main.cf:
Code: 
smtpd_data_restrictions = reject_unauth_pipelining
smtpd_reject_unlisted_recipient = yes
smtpd_sender_restrictions = reject_unknown_sender_domain, reject_unverified_sender, permit_mynetworks, permit_sasl_authenticated
delay_warning_time = 0h
policy_time_limit = 3600
maximal_queue_lifetime = 1d
bounce_queue_lifetime = 1d
 
Ich glaube ich habe das Problem gelöst. Danke für den Link Centy :)

"reject_sender_login_mismatch" löst das Problem natürlich.
 
Jetzt stellt sich mir nur die Frage wie ich mit unterschiedlichen Alias versenden kann, die ich mit "Postix Admin" angelegt habe. Mit den Einstellungen jetzt kann ja jeder Benutzer nur mit seinem Login versenden.
Hat das was mit sender_access zu tun?
 
Also bei mir funktionieren Aliase weiterhin mit dieser Einstellung. Machst du kein richtiges Aliasmapping?
 
Ich hab mich bis jetzt auf Postfix Admin verlassen. Keine Ahnung was der genau macht. Aber Aliasmapping ist das Stichwort? Dann werde ich mich dazu mal belesen.
 
Okay, eigentlich sollte es gehen. Mit der unten angegebenen Konfiguration kommt aber der Fehler ganz unten. Woran kann das denn jetzt noch liegen?
Die Konfiguration hatte iRedMail automatisch gemacht. Wundert mich sehr dass das nicht geht.

main.cf
Code: 
...
smtpd_sender_restrictions = reject_sender_login_mismatch, reject_unauth_destination, reject_unknown_sender_domain, reject_unverified_sender, permit_mynetworks, permit_sasl_authenticated
...
virtual_alias_maps = proxy:mysql:/etc/postfix/mysql_virtual_alias_maps.cf

mysql_virtual_alias_maps.cf
Code: 
...
query       = SELECT goto FROM alias WHERE address='%s' AND active='1' AND expired >= NOW()

mail.log
Code: 
... postfix/smtpd[20300]: NOQUEUE: reject: RCPT from xxxx.de[127.0.0.1]: 553 5.7.1 .....Sender address rejected: not owned by user ...
 
Ersetz reject_sender_login_mismatch durch reject_authenticated_sender_login_mismatch dann werden Mails die per SMTP kommen nicht mehr überprüft.
 
Hallo Bluewind,

danke für deine Antwort. Leider bleibt es bei dem gleichen Fehler:
"Sender address rejected: not owned by user "

grüße,
Frank
 
Ich habe jetzt eine Lösung gefunden, bin mir aber unschlüssig ob das gut ist, bzw. ob es da nicht elegantere Lösungen geben muss. Zumindest funktioniert jetzt das Versenden per eigenem Alias, und das senden mit fremden Alias wird nicht zugelassen.

Ich habe

"smtpd_sender_login_maps = proxy:mysql:/etc/postfix/mysql_sender_login_maps.cf"

durch

"smtpd_sender_login_maps = proxy:mysql:/etc/postfix/mysql_virtual_alias_maps.cf"

ersetzt.

Ach so, in der main.cf steht nach wie vor ansonsten:

Code: 
smtpd_sender_restrictions = reject_sender_login_mismatch, reject_unknown_sender_domain, permit_mynetworks, permit_sasl_authenticated
 
Last edited by a moderator:
You must log in or register to reply here.
Back
Top