Mailserver c't 17 SuSE 9.3

[zini2001]

tja..das ist eien gute frage. das wäre eine sache die man suse mal schreiben könnte. denn ohne will der postfix nix verschicken. weder localhost noch von einem client.
aber in der heutigen zeit ist einen authentifikation nicht sooo verkehrt, oder?
stichwort spam oder openrelay. es darf nur der mail verschicken der sich anmelden kann. sonst keiner!!!

smtpd_sasl_auth_enable = no

das ist ja das komische, bei einer SuSE standard install, ist hier erstmal "no" eingestellt. nach eurem tutorial soll hier auch "yes" rein! mit anderen worten alle die in meinem subnet "mynetworks = ..."sind und alle die, die sich über sasl authentifizieren können(intern oder extern) dürfen mails verschicken.

wie ist das den bei dir?? darf da jede spammer????

gruß

 

[dermichel]

"yes" nur fuer clients ausserhalb des netzes.

du definierst dein internes netz mit mynetworks und mynetworkssytle, traegst das in die restrictions ein und schon kann jeder client aus diesem netz mails versenden.

 

[dermichel]

wie ist das den bei dir?? darf da jede spammer????

wenn du meine dokus gelesen haettest, wuesstest du um meine konfigurationsqualitaeten bei postfix.

 

[zini2001]

wenn du meine dokus gelesen haettest, wuesstest du um meine konfigurationsqualitaeten bei postfix.

das bezweifelt hoffentlich keiner....!!! nur deine frage hörte sich so an, "machst du etwas client authentifikation???....tststs langweiler!" das war nicht böse gemeint.

 

[dermichel]

bei mir stehen die meisten mailserver in einer dmz und machen
mailforward rein auf einem anderen MX - daher stellt sich mir dieses
szenario wie bei kleinen mittelstaendigen unternehmen und netzwerken nicht sehr oft.

ich wuerde jedenfalls auf eine authentifizierung im internen netz von den clients verzichten.

 

[zini2001]

genau da ist auch schon mein zweites problem!

ich definiere mynetworks mit meinem subnet und dem localhost

mynetworks = 192.168.1.0/24,127.0.0.0/8
smtpd_recipient_restrictions = permit_mynetworks,reject_unauth_destination

und schon kann jeder senden, der in dem freugegeben netz sich befindet. richtig?

ich würde aber lieber voeziehen
(so wie es unter debian bei mir funzt und ich weis noch nicht warum nicht unter suse)
das nur DIE clients mail verschicken dürfen, die sich authentifizieren. also so:

smtpd_sasl_auth_enable = yes
smtpd_recipient_restrictions = permit_sasl_authenticated,reject_unauth_destination

mal angenommen ich habe ein großes netzwerk und mit 200 rechnern im netz und dhcp vergabe der ipadressen. jetzt kommt einer mit nem notebook an und verschickt unbewusst (windoof wurm) 20000mails an sein ihm zugewiesenes gatway? wo ist dann hier die user kontrolle?
der ist zwar in meinem subnet und darf mails verschicken, aber soll er ja gar nicht??....

 

[dermichel]

entweder ueber smtpd_auth - oder du laesst nur zu, das jemand mit MAIL FROM: *@deinedomaine.tld relayen darf (ein fremdes laptop hat selten als absender deine domain im header). das kann jeder admin machen wie er will. letzteres spart ein wenig konfig an den clients.
hier sind deinem sicherheitsempfinden keine grenzen gesetzt.

bei einer groesse von >200 rechnern sollte man zwei mailserver aufbauen - extern in der dmz und intern. bei dem externen mailserver wuerde der "wurm" sowieso im content/virenfilter haengen bleiben und der admin informiert.

 

[zini2001]

ich wollte mich nicht zuweit aus dem fenster lehnen!!! es gibt immer andere die es besser oder wenigstens genauso gut können.

wo wir jetzt gelandet sind übersteigt ja das eingehende problem bei weitem. nicht das wir uns gleich bei der probrammierung wieder finden.....ohje

 

[dermichel]

nicht besser -> eher anders ;-)

einschraenken der absenderdomain und nutzung eines virenscanner machen dir als admin das leben echt leicht.
ich bin halt faul und habe keine lust bei 200 clients smtp auth zu aktivieren. also gehe ich den schoeneren weg und beschraenke am server

 

[zini2001]

die mails von dem wurm sollen hängen bleiben!! nicht der wurm selber.
hab den fall gehabt, das sich ein kommilitone sich mit seinem notebook in mein netzwerk eingehägt hat und plötzlich der mail versand nicht mehr richtig ging, da postfix richtig zutun hatte(auf der kleine zuhause server kiste)

zum glück (und damals aus unwissenheit) hatte ich my networks auskommentiert.

da hatte sich jemand einen spam wurm oder wie die heissen eingefangen, der massen mail verschickt.

das mit dem MAIL FROM: *@deinedomaine.tld r ist ne schicke sache.
zu schreibst ja howtos wie ich gesehen habe....in welcher ist das explitzit erklärt?

 

[zini2001]

klar der wurm auch!!!selbstverständlich

 

[zini2001]

lust bei 200 clients smtp auth zu aktivieren.

das versteh ich jetzt nicht???

du nutzt doch bestimmt eine zentrale userverwaltung..? von dort könnte an das doch machen! ->ldap

 

[zini2001]

aber gut...wie schon gesagt

es gibt viele wege nach rom

 

[dermichel]

die mail mit dem wurm/virus kommt in quarantaene und der admin/absender erhaelt eine warnmail.

das suchst du:
http://www.postfix.org/ADDRESS_VERIFICATION_README.html

 

[dermichel]

lust bei 200 clients smtp auth zu aktivieren.

das versteh ich jetzt nicht???

du nutzt doch bestimmt eine zentrale userverwaltung..? von dort könnte an das doch machen! ->ldap

die clientsoftware muss sich authentifizieren.

 

[zini2001]

stimmt.