Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

Postfix SMTP send Restriktionen

27 views
Skip to first unread message

Rene Kockisch

unread,
Feb 15, 2012, 3:52:15 AM2/15/12
to
Hallo @all,

ich habe einen Postfixserver für den Mailverkehr nun möchte ich aber
bestimmten Mailadressen verbieten Emails zu senden. Hintergrund ist
das jeder User ein eigenes Postfach hat, aber es gibt ein zentrales
Postfach das zum senden und Empfangen dient. Die eigenen Postfächer
sind nur für den Empfang privater und interner Post gedacht. Nun kam
es schon oft dazu das User über ihr eigenes Postfach mails
rausgesendet haben. Also suche ich nun ne Möglichkeit den Usern das
senden der Mails zu verbieten bzw. die Absenderadresse umzuschreiben.
Hat da jemand eine Idee?

VG
Rene

Burkhard Ott

unread,
Feb 15, 2012, 12:18:10 PM2/15/12
to
google kaputt?

http://www.postfix.org/ADDRESS_VERIFICATION_README.html
oder mittels interner und externer domain

cheers

Rene Kockisch

unread,
Feb 21, 2012, 11:53:23 AM2/21/12
to
On 15 Feb., 18:18, Burkhard Ott <news2...@derith.de> wrote:
> google kaputt?
>
> http://www.postfix.org/ADDRESS_VERIFICATION_README.html
> oder mittels interner und externer domain
>
Ne Google geht noch aber ich hab mich zu doof angestellt das passende
Keyword zu finden :-) Ich hab mal reingeschaut das ist genau das was
ich suche, aber folgende Zeile irritiert mich:
Sender address verification may cause your site to be blacklisted by
some providers. See also the "Limitations" section below for more.

Ich kann in den Limitations aber nix finden warum sender Address
Verification dazu führen soll das man geblacked wird ?!


> cheers
thx

Burkhard Ott

unread,
Feb 21, 2012, 1:12:56 PM2/21/12
to
On Tue, 21 Feb 2012 08:53:23 -0800, Rene Kockisch wrote:

> suche, aber folgende Zeile irritiert mich: Sender address verification
> may cause your site to be blacklisted by some providers. See also the
> "Limitations" section below for more.
>
> Ich kann in den Limitations aber nix finden warum sender Address
> Verification dazu führen soll das man geblacked wird ?!

Das duerfte auf dich ohnehin nicht zutreffen da Du ja nur intern den
Verkehr filters. Wenn du das am gateway direkt machst kann das zu
Problemen fuehren.
Ballspiel:
Email kommt rein, Dein MTA prueft ob ein MX record fuer die Sender Domain
existiert, falls ja versucht er den zu kontaktieren, verbindet sendet
aber keine mail. Es kann dann passieren das Du auf ner Blacklist landest,
auch wenn es recht unwahrscheinlich ist. An gateways wuerde ich ohnehin
nicht empfehlen solche Restriktionen zu machen, da jede reinkommende
email solchen Traffic erzeugt (kommt ein bisschen drauf an wie Du den
Filter baust), Du hast also eine connection fuer die reinkommende email
und oeffenest eine neue um zu sehen ob der MTA des senders ueberhaupt
existiert. Bei hochfrquentierten MTA's kann das zu performance Problemen
fuehren (timeouts der Gegenstelle abwarten etc.).
Als interne Loesung so wie Du das vorhast, wirst Du kaum Probleme haben.

cheers

Norbert Hannisch

unread,
Feb 21, 2012, 9:02:11 PM2/21/12
to
Burkhard Ott schrieb:
"Address verification is a feature that allows the Postfix SMTP server to
block a sender (MAIL FROM) or recipient (RCPT TO) address until the address
has been verified to be deliverable."

Und wie verhindert das Mailversand von "replyable" Mailadressen aus, die
nur nicht für den Versand verwendet werden sollen?

Ich kenne mich mit postfix nicht besonders aus. Ich würde entweder ein
bestimmtes Reply-To: erzwingen und die Absenderadressen unverändert lassen
oder alternativ die persönlichen Absenderadressen rejecten. Und wenn es
garnicht anders geht, die Adresse umschreiben.

Mit exim geht das. :-)

Juergen P. Meier

unread,
Feb 22, 2012, 1:01:37 AM2/22/12
to
Rene Kockisch <rene.k...@googlemail.com>:
Weil es asozial ist. Du waelzt deine Spam-Probleme partiell auf
(u.U. unbeteiligte) Dritte ab. (HINWEIS: Das stellt eine objektive
Tatsachenfestellung dar, keine subjektive Wertung!)

Einige dieser Dritten wehren sich halt in dem sie Leute, die
solch ein Verifizierungsverfahren anwenden entsprechend Blacklisten.
Es gibt sogar eigene Real-Time Blacklisten fuer derartige Domains.

Die Frage ist halt, wie viel ist dir dieser (an sich sehr effektive)
Spam-Schutz wert? Kannst du auf Kommunikation mit denen verzichten,
die solches Verhalten durch Blacklisting abstraffen bzw. kannst du
fuer diese Ausnahmen entsprechend konfigurieren?

Bei allen Spambekaempfungsmassnahmen gilt eine Regel als universell
allgemein gueltig und von ueberragender Wichtigkeit: Ausnahmen
muessen vorsorglich, besonnen, umsichtig, staendig, zeitnah und
passend eingerichtet werden!

Juergen
--
Juergen P. Meier - "This World is about to be Destroyed!"
end
If you think technology can solve your problems you don't understand
technology and you don't understand your problems. (Bruce Schneier)

Rene Kockisch

unread,
Feb 22, 2012, 3:17:40 AM2/22/12
to
On 22 Feb., 07:01, "Juergen P. Meier" <nospam-1...@jors.net> wrote:
> Weil es asozial ist. Du waelzt deine Spam-Probleme partiell auf
> (u.U. unbeteiligte) Dritte ab. (HINWEIS: Das stellt eine objektive
> Tatsachenfestellung dar, keine subjektive Wertung!)
>

Hallo Jürgen,

wieso Spam-Probleme? Also so wie Burkhard es geschrieben hat verstehe
ich das, aber woher kommt das jetzt mit dem Spam? Das ist doch nur
eine Prüfung ob der Absender Mails senden darf oder nicht und wie
Burkhard schon gesagt hat geht es ja nur um den internen Mailtraffic.
Der Sinn dahinter ist das die Mitarbeiter nur Mails mit einer gültigen
zentralen Absenderadresse versenden dürfen. Das was Norbert
geschrieben hat klingt auch gut, wenn man das Reply-to erzwingen kann
dann kann das ruhig von einer anderen Adresse kommen aber man
antwortet auf die zentrale Adresse. Geht das mit Postfix?

VG
Rene

Norbert Hannisch

unread,
Feb 22, 2012, 5:24:10 AM2/22/12
to
Norbert Hannisch schrieb:

> Ich würde entweder ein
> bestimmtes Reply-To: erzwingen und die Absenderadressen unverändert lassen
> oder alternativ die persönlichen Absenderadressen rejecten. Und wenn es
> garnicht anders geht, die Adresse umschreiben.

Beim zweiten Nachdenken: Rejecten ist die einzig sichere Methode.

Wenn der Mitarbeiter eine private Mail unter seiner persönlichen Adresse
versendet (auch wenn er das evtl. nicht soll), erwartet er sicher nicht,
daß die Antwort an den allgemeinen Verteiler geht. Reply-To und Umschreiben
eröffnen einem da rechtliche Fallen, deren Klärung mehr Aufwand verursachen
dürfte, als einfach die Absenderadressen zu sperren.

Juergen P. Meier

unread,
Feb 22, 2012, 9:13:54 AM2/22/12
to
Rene Kockisch <rene.k...@googlemail.com>:
> On 22 Feb., 07:01, "Juergen P. Meier" <nospam-1...@jors.net> wrote:

[Envelope-Sender-Verification im SMTPD]

>> Weil es asozial ist. Du waelzt deine Spam-Probleme partiell auf
>> (u.U. unbeteiligte) Dritte ab. (HINWEIS: Das stellt eine objektive
>> Tatsachenfestellung dar, keine subjektive Wertung!)
>>
> Hallo Jürgen,
>
> wieso Spam-Probleme? Also so wie Burkhard es geschrieben hat verstehe
> ich das, aber woher kommt das jetzt mit dem Spam? Das ist doch nur
> eine Prüfung ob der Absender Mails senden darf oder nicht und wie

Falsch. Das ist eine Pruefung, ob die Absenderaddresse zustellbar ist.
Das ist etwas voellig anderes, und stellt eine Spamfiltermassnahme
dar, denn Spammer verwenden manchmal ungueltige Absenderadressen, die
bei so einem Check dann auffallen. Das passiert zwar nur selten (was
die Effizienz dieser Massnahme schlecht aussehen laesst), aber es gibt
solchen Spam.

> Burkhard schon gesagt hat geht es ja nur um den internen Mailtraffic.

Das hat er nicht dazugesagt. Wo stand das? Und welchen Sinn macht
solch eine Pruefung bei internem Mailtraffic? Da ist das voellig
Ueberfluessig, weil ohne sinnvollem Nutzen.

> Der Sinn dahinter ist das die Mitarbeiter nur Mails mit einer gültigen
> zentralen Absenderadresse versenden dürfen. Das was Norbert

Dafuer ist keine Sender-Verifikation notwendig. Das erledigt ein
statischer Filter bzw. man macht hier am besten gleich Kanonisierung
oder Umschreiben (ne nach Gusto und Randbedingungen im Detail).

> geschrieben hat klingt auch gut, wenn man das Reply-to erzwingen kann
> dann kann das ruhig von einer anderen Adresse kommen aber man
> antwortet auf die zentrale Adresse. Geht das mit Postfix?

Natuerlich. Aber das hat nichts mit Envelope-Sender-Verifikation zu tun.

Burkhard Ott

unread,
Feb 22, 2012, 11:39:21 AM2/22/12
to
On Wed, 22 Feb 2012 14:13:54 +0000, Juergen P. Meier wrote:

> Rene Kockisch <rene.k...@googlemail.com>:
>> On 22 Feb., 07:01, "Juergen P. Meier" <nospam-1...@jors.net> wrote:
>> Hallo Jürgen,
>>
>> wieso Spam-Probleme? Also so wie Burkhard es geschrieben hat verstehe
>> ich das, aber woher kommt das jetzt mit dem Spam? Das ist doch nur eine
>> Prüfung ob der Absender Mails senden darf oder nicht und wie
>
> Falsch. Das ist eine Pruefung, ob die Absenderaddresse zustellbar ist.
> Das ist etwas voellig anderes, und stellt eine Spamfiltermassnahme dar,
> denn Spammer verwenden manchmal ungueltige Absenderadressen, die bei so
> einem Check dann auffallen. Das passiert zwar nur selten (was die
> Effizienz dieser Massnahme schlecht aussehen laesst), aber es gibt
> solchen Spam.

Nein, er verbindet sich nur auf den im DNS hinterlegten MX, es wird keine
mail versendet, waere auch ein bisschen bloedsinnig.

>> Burkhard schon gesagt hat geht es ja nur um den internen Mailtraffic.
>
> Das hat er nicht dazugesagt. Wo stand das? Und welchen Sinn macht solch
> eine Pruefung bei internem Mailtraffic? Da ist das voellig
> Ueberfluessig, weil ohne sinnvollem Nutzen.

Wer lesen kann ist klar im Vorteil.

"Das duerfte auf dich ohnehin nicht zutreffen da Du ja nur intern den
Verkehr filters. Wenn du das am gateway direkt machst kann das zu
Problemen fuehren."

>> Der Sinn dahinter ist das die Mitarbeiter nur Mails mit einer gültigen
>> zentralen Absenderadresse versenden dürfen. Das was Norbert
>
> Dafuer ist keine Sender-Verifikation notwendig. Das erledigt ein
> statischer Filter bzw. man macht hier am besten gleich Kanonisierung
> oder Umschreiben (ne nach Gusto und Randbedingungen im Detail).

Kanonisierung ebnet den Weg das die User sich eben nicht an die
vorgegeben Einschraenkungen halten, waere zwar die bequemere Loesung, nur
da das ja alles dann so schoen automatisch geht, sendet jeder user mit
einer from adresse die ihm so gerade einfaellt. Wenn er die email am MTA
nicht los bekommt wird er um Hilfe schreien, wenn alles durchgeht (auch
wenn es nach aussen hin dann korrekt umgeschrieben wurde) interessiert es
den User nicht, geht ja alles.

cheers

Juergen P. Meier

unread,
Feb 23, 2012, 12:14:51 AM2/23/12
to
Burkhard Ott <news...@derith.de>:
> On Wed, 22 Feb 2012 14:13:54 +0000, Juergen P. Meier wrote:
>
>> Rene Kockisch <rene.k...@googlemail.com>:
>>> On 22 Feb., 07:01, "Juergen P. Meier" <nospam-1...@jors.net> wrote:
>>> Hallo Jürgen,
>>>
>>> wieso Spam-Probleme? Also so wie Burkhard es geschrieben hat verstehe
>>> ich das, aber woher kommt das jetzt mit dem Spam? Das ist doch nur eine
>>> Prüfung ob der Absender Mails senden darf oder nicht und wie
>>
>> Falsch. Das ist eine Pruefung, ob die Absenderaddresse zustellbar ist.
>> Das ist etwas voellig anderes, und stellt eine Spamfiltermassnahme dar,
>> denn Spammer verwenden manchmal ungueltige Absenderadressen, die bei so
>> einem Check dann auffallen. Das passiert zwar nur selten (was die
>> Effizienz dieser Massnahme schlecht aussehen laesst), aber es gibt
>> solchen Spam.
>
> Nein, er verbindet sich nur auf den im DNS hinterlegten MX, es wird keine
> mail versendet, waere auch ein bisschen bloedsinnig.

Und warum glaubst du, dass diese MX Betreiber hier zwischen
Zustellversuch und Zustellung differenzieren?

> Kanonisierung ebnet den Weg das die User sich eben nicht an die
> vorgegeben Einschraenkungen halten, waere zwar die bequemere Loesung, nur
> da das ja alles dann so schoen automatisch geht, sendet jeder user mit
> einer from adresse die ihm so gerade einfaellt. Wenn er die email am MTA
> nicht los bekommt wird er um Hilfe schreien, wenn alles durchgeht (auch
> wenn es nach aussen hin dann korrekt umgeschrieben wurde) interessiert es
> den User nicht, geht ja alles.

Supportkostenreduzierung ist mitunter durchuas Sinnvoll.
Masochismus ist nicht unbedingt ein erstrebenswertes Designziel einer
Loesung.

Rene Kockisch

unread,
Feb 23, 2012, 4:32:47 AM2/23/12
to
Hallo Burkhard,

vielen Dank für deine Antwort, mir erscheint es genau das zu sein was
ich suche. Es wäre natürlich toll wenn ich immer eine Reply To Adresse
angeben/ erzwingen könnte aber wie Norbert schon sagte wird das wohl
rechtlich nicht möglich sein. Ich kann aber immer noch nicht verstehen
was Jürgen mit dem Spam meint. Ich prüfe doch nur ob ein bestimmter
User das recht hat Mails auch zu versenden.

Die User werden bei uns in einer Domain zusammengeführt und da vergebe
ich Rechte für IMAP und SMTP nun darf user XY als pe...@domain.tld
keine Mails versenden aber der User XY darf Mails als in...@domain.tld
versenden. Wo ist in diesem Zusammenhang ein Problem mit Spam? Klar
das manche Spamer versuchen meinen Mailserver NAchrichten zu übergeben
die dann als absender pe...@domain.tld haben und als Empfänger evtl
auch pe...@domain.tld dann würde ohne Address Verification auch diese
Spam durch kommen. Aber das ist ja genau mein Ziel ich möchte nicht
das jemand mit dem Absender pe...@domain.tld eine Mail versendet. Nur
weil es einen User in meinem AD mit dem Namen peter gibt hat er doch
nicht zwingend das Recht mails mit dieser Adresse zu senden??!!

@Jürgen: kannst du mir das nochmal genauer erklären?

Burkhard Ott

unread,
Feb 23, 2012, 11:12:16 AM2/23/12
to
On Thu, 23 Feb 2012 05:14:51 +0000, Juergen P. Meier wrote:

>> Nein, er verbindet sich nur auf den im DNS hinterlegten MX, es wird
>> keine mail versendet, waere auch ein bisschen bloedsinnig.
>
> Und warum glaubst du, dass diese MX Betreiber hier zwischen
> Zustellversuch und Zustellung differenzieren?

Weil es ein Unterschied ist? Ob Du einen Host scannst oder versucht eine
SQL Injection zu triggern duerfte doch ein Unterschied sein, oder? Was
wirst Du primaer versuchen zu verhindern, den Scan?

>> Kanonisierung ebnet den Weg das die User sich eben nicht an die
>> vorgegeben Einschraenkungen halten, waere zwar die bequemere Loesung,
>> nur da das ja alles dann so schoen automatisch geht, sendet jeder user
>> mit einer from adresse die ihm so gerade einfaellt. Wenn er die email
>> am MTA nicht los bekommt wird er um Hilfe schreien, wenn alles
>> durchgeht (auch wenn es nach aussen hin dann korrekt umgeschrieben
>> wurde) interessiert es den User nicht, geht ja alles.
>
> Supportkostenreduzierung ist mitunter durchuas Sinnvoll. Masochismus ist
> nicht unbedingt ein erstrebenswertes Designziel einer Loesung.

Ich wuerde das eher Erziehung oder 'Awareness' nennen und ich habe bis
jetzt damit die besten Erfolge erziehlt, aber das kann jeder fuer sich
selbst entscheiden und das ist auch gut so.

cheers

Burkhard Ott

unread,
Feb 23, 2012, 11:22:27 AM2/23/12
to
On Thu, 23 Feb 2012 01:32:47 -0800, Rene Kockisch wrote:

> vielen Dank für deine Antwort, mir erscheint es genau das zu sein was
> ich suche. Es wäre natürlich toll wenn ich immer eine Reply To Adresse
> angeben/ erzwingen könnte aber wie Norbert schon sagte wird das wohl
> rechtlich nicht möglich sein. Ich kann aber immer noch nicht verstehen
> was Jürgen mit dem Spam meint. Ich prüfe doch nur ob ein bestimmter User
> das recht hat Mails auch zu versenden.

Well, er liest nicht richtig mit, in Deinem Fall sehe ich das so, Du
pruefst intern zwischen 2 MTA's ob der user oder besser die
Absenderadresse berechtigt ist email nach 'draussen' zu senden. Eine
Regel um den Absender MTA zu checken brauchst Du nicht, waere dusselig da
Du dann Deinen eigenen MTA checken musstest, ergo Du belaestigst keinen.
Ich denke mit pcre kommst Du am schnellsten ans Ziel.
e.g. /^From:([a-z0-9.-]+)@intern.domain.tld/ REJECT external access denied
oder sowas wie /^From:([a-z0-9.-]+)@domain.tld OK wenn Du reject als
default regel hast. Damit sollte das funktionieren, Du wirst da sicher
noch das eine oder andere optimieren, das zeigt dann die Zeit.

> Die User werden bei uns in einer Domain zusammengeführt und da vergebe
> ich Rechte für IMAP und SMTP nun darf user XY als pe...@domain.tld keine
> Mails versenden aber der User XY darf Mails als in...@domain.tld
> versenden. Wo ist in diesem Zusammenhang ein Problem mit Spam? Klar das
> manche Spamer versuchen meinen Mailserver NAchrichten zu übergeben die
> dann als absender pe...@domain.tld haben und als Empfänger evtl auch
> pe...@domain.tld dann würde ohne Address Verification auch diese Spam
> durch kommen. Aber das ist ja genau mein Ziel ich möchte nicht das
> jemand mit dem Absender pe...@domain.tld eine Mail versendet. Nur weil
> es einen User in meinem AD mit dem Namen peter gibt hat er doch nicht
> zwingend das Recht mails mit dieser Adresse zu senden??!!

Das geht aber auch einfacher da Du die hosts kennst die berechtigt sind
mit dieser adresse im From zu senden, bzw. kannst Du das auch in einer
access map abbilden. Wenn am externen MTA jemand mit einem from anders
als info ankommt und der domain part Deine Domain ist, Verbindung beenden.
Der Nachteil bei sowas ist dann wenn wenn eben nicht nur info durchkommen
soll, dann muesstest Du die access map jedesmal erweitern, bei wenigen
adressen geht das noch bei einigen 1000en faengst dann an zu nerven, auch
wenn Du eine DB anstatt ein file dazu benutzt. Aber das kannst Du nur
selbst entscheiden.

cheers

Ralph Angenendt

unread,
Feb 23, 2012, 7:01:28 PM2/23/12
to
Well, Burkhard Ott <news...@derith.de> wrote:
> On Thu, 23 Feb 2012 05:14:51 +0000, Juergen P. Meier wrote:
>
>>> Nein, er verbindet sich nur auf den im DNS hinterlegten MX, es wird
>>> keine mail versendet, waere auch ein bisschen bloedsinnig.
>>
>> Und warum glaubst du, dass diese MX Betreiber hier zwischen
>> Zustellversuch und Zustellung differenzieren?
>
> Weil es ein Unterschied ist? Ob Du einen Host scannst oder versucht eine
> SQL Injection zu triggern duerfte doch ein Unterschied sein, oder? Was
> wirst Du primaer versuchen zu verhindern, den Scan?

Wenn eine deiner Kisten aufgemacht wird und 100000 Mails mit Adressen
vom großen Mailprovider example.com an meine kleine Kiste schickt und
ich address verification mache, wie sind dann wohl meine Chancen, dass
ich an den großen Mailprovider noch Mail losbekomme, wenn ich mal kurz
100000 Tests fahre ob da User bei ihm verfügbar sind?

Ralph
--
Als hätte es 100 Jahre Philosophie in Göttingen studiert ...

Rene Kockisch

unread,
Feb 24, 2012, 8:32:29 AM2/24/12
to
Es geht doch nur um den internen Mailtraffic, meine Gateways kennen
diese Adressverification gar nicht. Ich frage nur auf dem internen
Mailservern ab ob der Mitarbeiter mit userid XY Mails versenden darf.

@Burkhard: vielen Dank für deine Hilfe das klappt super so.

VG
Rene

Burkhard Ott

unread,
Feb 24, 2012, 11:28:27 AM2/24/12
to
Es wird nicht versucht mail zuzustellen es ist eine simple tcp connection
auf den MX, ist diese erfolgreich wird diese gecached. In Deinem Beispiel
waere da genau 1 Verbindung wenn alle 10000 mails gleichzeitig ankommen.
Wer die config so einstellt und versucht mail zuzustellen dem ist eh
nicht mehr zu helfen, das war aber auch gar nicht Gegenstand der
Diskussion.
0 new messages