Postfix Konfiguration - reject_sender_login_mismatch

  • Wäre es möglich - womöglich optional - den Postfix-Parameter "reject_sender_login_mismatch", evtl. in der Ausprägung "reject_authenticated_sender_login_mismatch" mit aufzunehmen?
    Hierzu braucht man auch "smtpd_sender_login_maps".


    Man kann dadurch vermeiden, dass Kunden E-Mails mit "gefälschten" Absendern verschicken (z.b. wenn ein Spammer an das Passwort des Accounts kommt).

  • Ein interessanter Vorschlag...
    Grundsätzlich schließt man dabei aber auch den Versand in den Fällen aus, in denen ein Kunde z.B. seine GMX-Adresse als Absenderadresse verwendet (außer man ließe in LiveConfig auch noch "sonstige erlaubte Absenderadressen" mit pflegen).


    In der Implementierung ist das aber mit ein bisserl Arbeit verbunden, weil LiveConfig ja erst noch die Map-Datei erzeugen müsste (Absenderadresse <-> SASL-Benutzer).


    Ich denke, wir können das durchaus als Option mit aufnehmen (kann man dann bei der Postfix-Konfiguration wahlweise aktivieren); ein entsprechendes Feature-Ticket mache ich gleich auf. Bis wann das umgesetzt sein wird, kann ich aber noch nicht abschätzen.


  • Grundsätzlich schließt man dabei aber auch den Versand in den Fällen aus, in denen ein Kunde z.B. seine GMX-Adresse als Absenderadresse verwendet (außer man ließe in LiveConfig auch noch "sonstige erlaubte Absenderadressen" mit pflegen).


    Ja, natürlich schließt man diese Fälle aus, aber wenn jemand via $fremdserver mit seiner GMX-Adresse versendet hat er sowieso Probleme, mindestens bei @gmx.de Empfängern kommen seine E-Mails dann nicht an, da dort meines Wissens von extern nichts mit @gmx.de angenommen wird.


    Dass man jeden Mail-Server für jede Absenderdomain benutzen kann ist zwar komfortabel, aber aus Spamschutz-Gründen seit Jahren schon eine schlechte Praxis - ich sehe kein Problem darin, für jede Domain den zugehörigen SMTP-Server einzutragen im Mail-Client...


    Danke für die Aufnahme als Feature-Ticket, natürlich gibt es zig wichtigere Themen als dieses.

  • Bitte beachten, dass MS Exchange nur einen SMTP-Relayhost verwalten kann.


    Wir haben aktuell eine Prüfung, ob die Domain des Absenders im Vertrag des Kunden enthalten ist und rejecten, falls das nicht der Fall ist.


    Die Exchange-User haben damit Probleme, sobald auf einem Exchange-Server Domains aus mehreren Verträgen genutzt werden sollen.


    Ähnliches gilt für David von Tobit.



    Bitte dann berücksichtigen!


  • Moin,


    dafür gibt es dann Produkte wie dieses hier... http://www.servolutions.de/multisendcon.htm

  • Wie ist denn hier der Status? Wäre halt gut, wenn man das pro Vertrag ein/ausschalten könnte, denn Exchange-User, die den Server als Smarthost benutzen, habe ich auch.


    Status ist, dass so eine Konfiguration technisch möglich, aber relativ komplex ist.
    (zu komplex, damit LiveConfig das derzeit mit abdecken könnte).


    Man kann das manuell wie folgt einrichten:
    1.) Paket "postfix-pcre" installieren, damit Postfix mit PCRE-Lookups zurecht kommt.
    2.) die /etc/postfix/main.cf wie folgt anpassen:

    Code
    smtpd_restriction_classes = sasl_restricted_senders
    smtpd_sender_restrictions =
      check_sasl_access hash:/etc/postfix/sasl_access,
      [...]
    sasl_restricted_senders =
      reject_sender_login_mismatch
    smtpd_sender_login_maps =
      pcre:/etc/postfix/sender_login_map_default,
      hash:/etc/postfix/sender_login_map


    3.) Datei /etc/postfix/sasl_access anlegen:

    Code
    # SASL-Accounts, die nur definierte Absenderadressen verwenden dürfen:
    user@example.org sasl_restricted_senders


    Danach natürlich noch "postmap /etc/postfix/sasl_access" ausführen.
    4.) Datei /etc/postfix/sender_login_map_default anlegen:

    Code
    /^(.*)$/   ${1}


    5.) Datei /etc/postfix/sender_login_map anlegen:

    Code
    # Liste der Absender (MAIL FROM) und der erlaubten Mailbenutzer
    info@example.org   user@example.org
    manfred.mustermann@googlemail.de   user@example.org


    Danach auch "postmap /etc/postfix/sender_login_map" ausführen.


    Dieses Beispiel erlaubt es grundsätzlich allen SASL-Benutzern, die in "sasl_restricted_senders" stehen, nur E-Mails zu versenden, bei denen der Absendername ("From:") identisch mit dem SASL-Benutzernamen ist.
    Zudem wird dem Benutzer "user@example.org" erlaubt, E-Mails auch als "info@example.org" oder als "manfred.mustermann@googlemail.de" zu versenden.


    WICHTIG: bei "smtpd_sender_restrictions" auch noch die bisherigen Einschränkungen übernehmen, sonst baut man sich ein "open relay".
    Alle Einstellungen lassen sich über die custom.lua in "postfix.LOCALCONFIG" eintragen.


    Alle Angaben ohne Gewähr, o.g. Konfigurationsanweisungen sind "from scratch"!

  • Ich würde mal behaupten, dass es eher umgekehrt nützlich wäre - niemand darf fremde Absender benutzen, nur explizit ausgenommene Accounts.
    Ohne diese Ausnahmen ist es natürlich trivial, 2. Schritt wären Ausnahmen, 3. Schritt via LC einstellbar (aber nur als Admin, Reseller nicht)

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!