Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
Postfix: submission/submissions filtern
32 views
Skip to first unread message
Friedemann Stoyan
Nov 3, 2023, 10:54:52 AM11/3/23
to
Moin!
Auf meinem postfix Server wollen sich Gott und die Welt auf den Port
submission anmelden. Ich möchte das nicht und will das wegfiltern.
Dazu hatte ich folgende Idee:
In der "/etc/postfix/master.cf" habe ich gesagt:
submissions inet n - n - - smtpd
-o syslog_name=postfix/submissions
-o smtpd_tls_wrappermode=yes
-o smtpd_sasl_auth_enable=yes
-o local_header_rewrite_clients=static:all
-o smtpd_reject_unlisted_recipient=no
# Instead of specifying complex smtpd_<xxx>_restrictions here,
# specify "smtpd_<xxx>_restrictions=$mua_<xxx>_restrictions"
# here, and specify mua_<xxx>_restrictions in main.cf (where
# "<xxx>" is "client", "helo", "sender", "relay", or "recipient").
# -o smtpd_client_restrictions=
-o smtpd_client_restrictions=$mua_client_restrictions
-o smtpd_helo_restrictions=
# -o smtpd_sender_restrictions=
-o smtpd_relay_restrictions=
-o smtpd_recipient_restrictions=reject_sender_login_mismatch,permit_sasl_authenticated,reject
-o milter_macro_daemon_name=ORIGINATING
In der "/etc/postfix/main.cf" definiert:
# MUA checks
mua_client_restrictions =
check_client_access cidr:/etc/postfix/mua-client-blacklist.cidr
Und in der Datei: "/etc/postfix/mua-client-blacklist.cidr":
141.98.11.0/24 REJECT blacklisted
172.88.0.0/14 REJECT blacklisted
Soweit, so gut. Das Problem ist jedoch, dass der Effekt nicht eintritt. Nichts
wird rejected! Ich sehe trotzdem noch im log:
postfix/submissions/smtpd[2097]: warning: unknown[141.98.11.82]: SASL LOGIN authentication failed: UGFzc3dvcmQ6, sasl_username=dalm...@swapon.de
Habe ich einen Denkfehler?
mfg Friedemann
Auf meinem postfix Server wollen sich Gott und die Welt auf den Port
submission anmelden. Ich möchte das nicht und will das wegfiltern.
Dazu hatte ich folgende Idee:
In der "/etc/postfix/master.cf" habe ich gesagt:
submissions inet n - n - - smtpd
-o syslog_name=postfix/submissions
-o smtpd_tls_wrappermode=yes
-o smtpd_sasl_auth_enable=yes
-o local_header_rewrite_clients=static:all
-o smtpd_reject_unlisted_recipient=no
# Instead of specifying complex smtpd_<xxx>_restrictions here,
# specify "smtpd_<xxx>_restrictions=$mua_<xxx>_restrictions"
# here, and specify mua_<xxx>_restrictions in main.cf (where
# "<xxx>" is "client", "helo", "sender", "relay", or "recipient").
# -o smtpd_client_restrictions=
-o smtpd_client_restrictions=$mua_client_restrictions
-o smtpd_helo_restrictions=
# -o smtpd_sender_restrictions=
-o smtpd_relay_restrictions=
-o smtpd_recipient_restrictions=reject_sender_login_mismatch,permit_sasl_authenticated,reject
-o milter_macro_daemon_name=ORIGINATING
In der "/etc/postfix/main.cf" definiert:
# MUA checks
mua_client_restrictions =
check_client_access cidr:/etc/postfix/mua-client-blacklist.cidr
Und in der Datei: "/etc/postfix/mua-client-blacklist.cidr":
141.98.11.0/24 REJECT blacklisted
172.88.0.0/14 REJECT blacklisted
Soweit, so gut. Das Problem ist jedoch, dass der Effekt nicht eintritt. Nichts
wird rejected! Ich sehe trotzdem noch im log:
postfix/submissions/smtpd[2097]: warning: unknown[141.98.11.82]: SASL LOGIN authentication failed: UGFzc3dvcmQ6, sasl_username=dalm...@swapon.de
Habe ich einen Denkfehler?
mfg Friedemann
Markus Schaaf
Nov 3, 2023, 11:49:28 AM11/3/23
to
Am 03.11.23 um 15:54 schrieb Friedemann Stoyan:
> # MUA checks
> mua_client_restrictions =
> check_client_access cidr:/etc/postfix/mua-client-blacklist.cidr
>
>
> Und in der Datei: "/etc/postfix/mua-client-blacklist.cidr":
>
> 141.98.11.0/24 REJECT blacklisted
> 172.88.0.0/14 REJECT blacklisted
>
> Soweit, so gut. Das Problem ist jedoch, dass der Effekt nicht eintritt. Nichts
> wird rejected! Ich sehe trotzdem noch im log:
>
> postfix/submissions/smtpd[2097]: warning: unknown[141.98.11.82]: SASL LOGIN authentication failed: UGFzc3dvcmQ6, sasl_username=dalm...@swapon.de
>
>
> Habe ich einen Denkfehler?
Check mal smtpd_delay_reject.
MfG
> # MUA checks
> mua_client_restrictions =
> check_client_access cidr:/etc/postfix/mua-client-blacklist.cidr
>
>
> Und in der Datei: "/etc/postfix/mua-client-blacklist.cidr":
>
> 141.98.11.0/24 REJECT blacklisted
> 172.88.0.0/14 REJECT blacklisted
>
> Soweit, so gut. Das Problem ist jedoch, dass der Effekt nicht eintritt. Nichts
> wird rejected! Ich sehe trotzdem noch im log:
>
> postfix/submissions/smtpd[2097]: warning: unknown[141.98.11.82]: SASL LOGIN authentication failed: UGFzc3dvcmQ6, sasl_username=dalm...@swapon.de
>
>
> Habe ich einen Denkfehler?
MfG
Friedemann Stoyan
Nov 3, 2023, 12:01:41 PM11/3/23
to
mfg Friedemann
Ulli Horlacher
Nov 3, 2023, 6:43:37 PM11/3/23
to
Friedemann Stoyan <use...@ip6-mail.de> wrote:
> Auf meinem postfix Server wollen sich Gott und die Welt auf den Port
> submission anmelden. Ich möchte das nicht und will das wegfiltern.
Wieso blockierst du die nicht einfach mit iptables?
> Auf meinem postfix Server wollen sich Gott und die Welt auf den Port
> submission anmelden. Ich möchte das nicht und will das wegfiltern.
--
Ullrich Horlacher Server und Virtualisierung
Rechenzentrum TIK
Universitaet Stuttgart E-Mail: horl...@tik.uni-stuttgart.de
Allmandring 30a Tel: ++49-711-68565868
70569 Stuttgart (Germany) WWW: https://www.tik.uni-stuttgart.de/
Friedemann Stoyan
Nov 3, 2023, 11:58:55 PM11/3/23
to
Ulli Horlacher wrote:
> Friedemann Stoyan <use...@ip6-mail.de> wrote:
>> Auf meinem postfix Server wollen sich Gott und die Welt auf den Port
>> submission anmelden. Ich möchte das nicht und will das wegfiltern.
> Wieso blockierst du die nicht einfach mit iptables?
Weil ich finde, dass, wenn ich jemanden auf Applikationsebene aussperren
> Friedemann Stoyan <use...@ip6-mail.de> wrote:
>> Auf meinem postfix Server wollen sich Gott und die Welt auf den Port
>> submission anmelden. Ich möchte das nicht und will das wegfiltern.
> Wieso blockierst du die nicht einfach mit iptables?
möchte, dann auch die Applikation der erste Ansatz sein sollte. Wenn es denn
möglich ist. Und hier ist es ja möglich. Wenn es denn nicht möglich ist, dann
würde ich zu IP-Access-Lists greifen und wenn das nicht geht zu nftables.
In dieser Reihenfolge.
Kann ja sein, dass das heute nicht mehr „modern“ ist, weil man sich nicht mehr
mit der Applikation beschäftigen möchte. Und dann hat alles per nftables dropt
und resettet. Ich habe es auf Application-Layer aber lieber.
mfg Friedemann
Ulli Horlacher
Nov 4, 2023, 3:12:48 AM11/4/23
to
Friedemann Stoyan <use...@ip6-mail.de> wrote:
> Ulli Horlacher wrote:
>> Friedemann Stoyan <use...@ip6-mail.de> wrote:
>
>>> Auf meinem postfix Server wollen sich Gott und die Welt auf den Port
>>> submission anmelden. Ich möchte das nicht und will das wegfiltern.
>
>> Wieso blockierst du die nicht einfach mit iptables?
>
>
> Weil ich finde, dass, wenn ich jemanden auf Applikationsebene aussperren
> möchte, dann auch die Applikation der erste Ansatz sein sollte.
Dann muss man sich mit JEDER Applikation und dessen Konfiguration auskennen.
> Ulli Horlacher wrote:
>> Friedemann Stoyan <use...@ip6-mail.de> wrote:
>
>>> Auf meinem postfix Server wollen sich Gott und die Welt auf den Port
>>> submission anmelden. Ich möchte das nicht und will das wegfiltern.
>
>> Wieso blockierst du die nicht einfach mit iptables?
>
>
> Weil ich finde, dass, wenn ich jemanden auf Applikationsebene aussperren
> möchte, dann auch die Applikation der erste Ansatz sein sollte.
Das ist mir zu umstaendlich.
Ausserdem, wenn ich jemand sperre, dann will ich mit dem GAR NICHTS mehr
zu tun haben, egal welcher Service.
Peter J. Holzer
Nov 4, 2023, 6:10:54 AM11/4/23
to
On 2023-11-04 07:12, Ulli Horlacher <fram...@rus.uni-stuttgart.de> wrote:
> Friedemann Stoyan <use...@ip6-mail.de> wrote:
>> Ulli Horlacher wrote:
>>> Friedemann Stoyan <use...@ip6-mail.de> wrote:
>>>> Auf meinem postfix Server wollen sich Gott und die Welt auf den Port
>>>> submission anmelden. Ich möchte das nicht und will das wegfiltern.
>>
>>> Wieso blockierst du die nicht einfach mit iptables?
>>
>>
>> Weil ich finde, dass, wenn ich jemanden auf Applikationsebene aussperren
>> möchte, dann auch die Applikation der erste Ansatz sein sollte.
>
> Dann muss man sich mit JEDER Applikation und dessen Konfiguration auskennen.
Bei Applikationen, die Services im Internet zur Verfügung stellen,
> Friedemann Stoyan <use...@ip6-mail.de> wrote:
>> Ulli Horlacher wrote:
>>> Friedemann Stoyan <use...@ip6-mail.de> wrote:
>>>> Auf meinem postfix Server wollen sich Gott und die Welt auf den Port
>>>> submission anmelden. Ich möchte das nicht und will das wegfiltern.
>>
>>> Wieso blockierst du die nicht einfach mit iptables?
>>
>>
>> Weil ich finde, dass, wenn ich jemanden auf Applikationsebene aussperren
>> möchte, dann auch die Applikation der erste Ansatz sein sollte.
>
> Dann muss man sich mit JEDER Applikation und dessen Konfiguration auskennen.
sollte man sich sowieso in der Konfiguration auskennen. Und sei es nur
soweit, dass man beurteilen kann, dass gewisse Teile für die eigene
Anwendung irrelevant sind und ignoriert werden können.
> Das ist mir zu umstaendlich.
Verbindung zustande. Somit sind auch eventuelle Sicherheitslücken in der
Authentifikation/Autorisation nicht ausnützbar.
> Ausserdem, wenn ich jemand sperre, dann will ich mit dem GAR NICHTS mehr
> zu tun haben, egal welcher Service.
alle zugänglich sein. Ebenso will ich prinzipiell Mail aus aller Welt
empfangen können (SMTP, Port 25). Aber die Personen, die die Mails dann
mittels IMAP (Ports 143, 993) lesen können bzw. welche über sen Server
verschicken (Port 587) können sollen, sind wenige und halten sich in
einigen wenigen Netzen auf. Daher macht es durchaus Sinn, IMAP und
SUBMISSION für diese Netze zu whitelisten und für alle anderen zu
sperren, während das für HTTPS und SMTP unsinnig wäre.
hp
Tim Ritberg
Nov 4, 2023, 6:12:28 AM11/4/23
to
Am 04.11.23 um 11:10 schrieb Peter J. Holzer:
>
> iptables/nftables hat einen weiteren Vorteil: Es kommt gar keine
> Verbindung zustande. Somit sind auch eventuelle Sicherheitslücken in der
> Authentifikation/Autorisation nicht ausnützbar.
Und müllen einem das Log nicht voll...
Tim
>
> iptables/nftables hat einen weiteren Vorteil: Es kommt gar keine
> Verbindung zustande. Somit sind auch eventuelle Sicherheitslücken in der
> Authentifikation/Autorisation nicht ausnützbar.
Tim
Markus Schaaf
Nov 4, 2023, 7:41:25 AM11/4/23
to
Am 03.11.23 um 23:43 schrieb Ulli Horlacher:
Filtermöglichkeiten durch Postfix viel umfangreicher, als reine
IP-Listen. Man kann z.B. nach Domain-Namen, nach IP des
Nameservers oder des MX filtern, man kann DNS-BLs abfragen usw.
MfG
> Friedemann Stoyan <use...@ip6-mail.de> wrote:
>
>> Auf meinem postfix Server wollen sich Gott und die Welt auf den Port
>> submission anmelden. Ich möchte das nicht und will das wegfiltern.
>
> Wieso blockierst du die nicht einfach mit iptables?
Auch wenn im Beispiel nicht zu sehen, sind die
>
>> Auf meinem postfix Server wollen sich Gott und die Welt auf den Port
>> submission anmelden. Ich möchte das nicht und will das wegfiltern.
>
> Wieso blockierst du die nicht einfach mit iptables?
Filtermöglichkeiten durch Postfix viel umfangreicher, als reine
IP-Listen. Man kann z.B. nach Domain-Namen, nach IP des
Nameservers oder des MX filtern, man kann DNS-BLs abfragen usw.
MfG
Tim Ritberg
Nov 4, 2023, 8:10:16 AM11/4/23
to
Am 04.11.23 um 12:41 schrieb Markus Schaaf:
Hast du übersehen, dass es um Submission geht?
Das ist kein Dienst für die Allgemeinheit.
Tim
Das ist kein Dienst für die Allgemeinheit.
Tim
Markus Schaaf
Nov 4, 2023, 8:43:13 AM11/4/23
to
Am 04.11.23 um 13:10 schrieb Tim Ritberg:
.elaboris.de OK
zu schreiben, als eine Firewall zu betreiben und umständlich
IP-Bereiche einzupflegen. Auf meinem Mailserver läuft z.B. gar
keine Firewall. Außerdem behandle ich Submission nicht anders als
SMTP, weil ich auch von unterwegs E-Mails einliefern möchte. Auch
aus dem Ausland.
MfG
> Am 04.11.23 um 12:41 schrieb Markus Schaaf:
>> Auch wenn im Beispiel nicht zu sehen, sind die Filtermöglichkeiten durch
>> Postfix viel umfangreicher, als reine IP-Listen. Man kann z.B. nach
>> Domain-Namen, nach IP des Nameservers oder des MX filtern, man kann
>> DNS-BLs abfragen usw.
>>
> Hast du übersehen, dass es um Submission geht?
> Das ist kein Dienst für die Allgemeinheit.
Und? Auch da wäre es einfacher
>> Postfix viel umfangreicher, als reine IP-Listen. Man kann z.B. nach
>> Domain-Namen, nach IP des Nameservers oder des MX filtern, man kann
>> DNS-BLs abfragen usw.
>>
> Hast du übersehen, dass es um Submission geht?
> Das ist kein Dienst für die Allgemeinheit.
.elaboris.de OK
zu schreiben, als eine Firewall zu betreiben und umständlich
IP-Bereiche einzupflegen. Auf meinem Mailserver läuft z.B. gar
keine Firewall. Außerdem behandle ich Submission nicht anders als
SMTP, weil ich auch von unterwegs E-Mails einliefern möchte. Auch
aus dem Ausland.
MfG
Peter J. Holzer
Nov 4, 2023, 8:49:26 AM11/4/23
to
könnte man Submission aus dem lokalen Netz ohne (weitere)
Authentifikation zulassen, die mit einem PTR-Record, der auf die Domain
des eigenen Mobilfunkbetreibers verweist, nur mit SCRAM und alle anderen
gar nicht.
hp
Marcus Jodorf
Nov 4, 2023, 11:46:37 PM11/4/23
to
Ulli Horlacher <fram...@rus.uni-stuttgart.de> schrieb:
> Friedemann Stoyan <use...@ip6-mail.de> wrote:
>
>> Auf meinem postfix Server wollen sich Gott und die Welt auf den Port
>> submission anmelden. Ich möchte das nicht und will das wegfiltern.
>
> Wieso blockierst du die nicht einfach mit iptables?
Das wäre reichlich windowsmäßig. Ein vernünftig konfigurierter Server
benötigt keinen packet-filter.
Gruß,
Marcus
⚂⚃
> Friedemann Stoyan <use...@ip6-mail.de> wrote:
>
>> Auf meinem postfix Server wollen sich Gott und die Welt auf den Port
>> submission anmelden. Ich möchte das nicht und will das wegfiltern.
>
> Wieso blockierst du die nicht einfach mit iptables?
benötigt keinen packet-filter.
Gruß,
Marcus
⚂⚃
Ulli Horlacher
Nov 5, 2023, 3:46:01 AM11/5/23
to
Marcus Jodorf <m...@bogomips.de> wrote:
> Das wäre reichlich windowsmäßig. Ein vernünftig konfigurierter Server
> benötigt keinen packet-filter.
So wie ein vernuenftig administrierter Server kein backup braucht.
> Das wäre reichlich windowsmäßig. Ein vernünftig konfigurierter Server
> benötigt keinen packet-filter.
Tim Ritberg
Nov 5, 2023, 5:23:39 AM11/5/23
to
Am 05.11.23 um 09:45 schrieb Ulli Horlacher:
Tim
> Marcus Jodorf <m...@bogomips.de> wrote:
>
>> Das wäre reichlich windowsmäßig. Ein vernünftig konfigurierter Server
>> benötigt keinen packet-filter.
>
> So wie ein vernuenftig administrierter Server kein backup braucht.
>
>
Ok warriors, choose your weapons :-P
>
>> Das wäre reichlich windowsmäßig. Ein vernünftig konfigurierter Server
>> benötigt keinen packet-filter.
>
> So wie ein vernuenftig administrierter Server kein backup braucht.
>
>
Tim
0 new messages