Groups | Search | Server Info | Keyboard shortcuts | Login | Register [http] [https] [nntp] [nntps]
Groups > de.comm.software.mailserver > #6900 > unrolled thread
| Started by | Friedemann Stoyan <usenet@ip6-mail.de> |
|---|---|
| First post | 2023-11-03 15:54 +0100 |
| Last post | 2025-04-16 11:19 +0200 |
| Articles | 16 — 7 participants |
Back to article view | Back to de.comm.software.mailserver
Postfix: submission/submissions filtern Friedemann Stoyan <usenet@ip6-mail.de> - 2023-11-03 15:54 +0100
Re: Postfix: submission/submissions filtern Markus Schaaf <mschaaf@elaboris.de> - 2023-11-03 16:49 +0100
Re: Postfix: submission/submissions filtern Friedemann Stoyan <usenet@ip6-mail.de> - 2023-11-03 17:01 +0100
Re: Postfix: submission/submissions filtern Ulli Horlacher <framstag@rus.uni-stuttgart.de> - 2023-11-03 22:43 +0000
Re: Postfix: submission/submissions filtern Friedemann Stoyan <usenet@ip6-mail.de> - 2023-11-04 04:58 +0100
Re: Postfix: submission/submissions filtern Ulli Horlacher <framstag@rus.uni-stuttgart.de> - 2023-11-04 07:12 +0000
Re: Postfix: submission/submissions filtern "Peter J. Holzer" <hjp-usenet3@hjp.at> - 2023-11-04 11:10 +0100
Re: Postfix: submission/submissions filtern Tim Ritberg <tim@server.invalid> - 2023-11-04 11:12 +0100
Re: Postfix: submission/submissions filtern Markus Schaaf <mschaaf@elaboris.de> - 2023-11-04 12:41 +0100
Re: Postfix: submission/submissions filtern Tim Ritberg <tim@server.invalid> - 2023-11-04 13:10 +0100
Re: Postfix: submission/submissions filtern Markus Schaaf <mschaaf@elaboris.de> - 2023-11-04 13:43 +0100
Re: Postfix: submission/submissions filtern "Peter J. Holzer" <hjp-usenet3@hjp.at> - 2023-11-04 13:49 +0100
Re: Postfix: submission/submissions filtern Marcus Jodorf <m@bogomips.de> - 2023-11-05 04:35 +0100
Re: Postfix: submission/submissions filtern Ulli Horlacher <framstag@rus.uni-stuttgart.de> - 2023-11-05 08:45 +0000
Re: Postfix: submission/submissions filtern Tim Ritberg <tim@server.invalid> - 2023-11-05 11:23 +0100
Re: Postfix: submission/submissions filtern Marc Haber <mh+usenetspam1118@zugschl.us> - 2025-04-16 11:19 +0200
| From | Friedemann Stoyan <usenet@ip6-mail.de> |
|---|---|
| Date | 2023-11-03 15:54 +0100 |
| Subject | Postfix: submission/submissions filtern |
| Message-ID | <ui31jr$155fm$1@news.lab.swapon.de> |
Moin!
Auf meinem postfix Server wollen sich Gott und die Welt auf den Port
submission anmelden. Ich möchte das nicht und will das wegfiltern.
Dazu hatte ich folgende Idee:
In der "/etc/postfix/master.cf" habe ich gesagt:
submissions inet n - n - - smtpd
-o syslog_name=postfix/submissions
-o smtpd_tls_wrappermode=yes
-o smtpd_sasl_auth_enable=yes
-o local_header_rewrite_clients=static:all
-o smtpd_reject_unlisted_recipient=no
# Instead of specifying complex smtpd_<xxx>_restrictions here,
# specify "smtpd_<xxx>_restrictions=$mua_<xxx>_restrictions"
# here, and specify mua_<xxx>_restrictions in main.cf (where
# "<xxx>" is "client", "helo", "sender", "relay", or "recipient").
# -o smtpd_client_restrictions=
-o smtpd_client_restrictions=$mua_client_restrictions
-o smtpd_helo_restrictions=
# -o smtpd_sender_restrictions=
-o smtpd_relay_restrictions=
-o smtpd_recipient_restrictions=reject_sender_login_mismatch,permit_sasl_authenticated,reject
-o milter_macro_daemon_name=ORIGINATING
In der "/etc/postfix/main.cf" definiert:
# MUA checks
mua_client_restrictions =
check_client_access cidr:/etc/postfix/mua-client-blacklist.cidr
Und in der Datei: "/etc/postfix/mua-client-blacklist.cidr":
141.98.11.0/24 REJECT blacklisted
172.88.0.0/14 REJECT blacklisted
Soweit, so gut. Das Problem ist jedoch, dass der Effekt nicht eintritt. Nichts
wird rejected! Ich sehe trotzdem noch im log:
postfix/submissions/smtpd[2097]: warning: unknown[141.98.11.82]: SASL LOGIN authentication failed: UGFzc3dvcmQ6, sasl_username=dalmaine@swapon.de
Habe ich einen Denkfehler?
mfg Friedemann
[toc] | [next] | [standalone]
| From | Markus Schaaf <mschaaf@elaboris.de> |
|---|---|
| Date | 2023-11-03 16:49 +0100 |
| Message-ID | <ui34q6$2r4g5$1@dont-email.me> |
| In reply to | #6900 |
Am 03.11.23 um 15:54 schrieb Friedemann Stoyan: > # MUA checks > mua_client_restrictions = > check_client_access cidr:/etc/postfix/mua-client-blacklist.cidr > > > Und in der Datei: "/etc/postfix/mua-client-blacklist.cidr": > > 141.98.11.0/24 REJECT blacklisted > 172.88.0.0/14 REJECT blacklisted > > Soweit, so gut. Das Problem ist jedoch, dass der Effekt nicht eintritt. Nichts > wird rejected! Ich sehe trotzdem noch im log: > > postfix/submissions/smtpd[2097]: warning: unknown[141.98.11.82]: SASL LOGIN authentication failed: UGFzc3dvcmQ6, sasl_username=dalmaine@swapon.de > > > Habe ich einen Denkfehler? Check mal smtpd_delay_reject. MfG
[toc] | [prev] | [next] | [standalone]
| From | Friedemann Stoyan <usenet@ip6-mail.de> |
|---|---|
| Date | 2023-11-03 17:01 +0100 |
| Message-ID | <ui35h4$157ue$1@news.lab.swapon.de> |
| In reply to | #6901 |
Markus Schaaf wrote: > Am 03.11.23 um 15:54 schrieb Friedemann Stoyan: >> # MUA checks >> mua_client_restrictions = >> check_client_access cidr:/etc/postfix/mua-client-blacklist.cidr >> >> >> Und in der Datei: "/etc/postfix/mua-client-blacklist.cidr": >> >> 141.98.11.0/24 REJECT blacklisted >> 172.88.0.0/14 REJECT blacklisted >> >> Soweit, so gut. Das Problem ist jedoch, dass der Effekt nicht eintritt. Nichts >> wird rejected! Ich sehe trotzdem noch im log: >> >> postfix/submissions/smtpd[2097]: warning: unknown[141.98.11.82]: SASL LOGIN authentication failed: UGFzc3dvcmQ6, sasl_username=dalmaine@swapon.de >> >> >> Habe ich einen Denkfehler? > Check mal smtpd_delay_reject. Potzblitz! Damit rejected postfix sofort! Vielen Dank. mfg Friedemann
[toc] | [prev] | [next] | [standalone]
| From | Ulli Horlacher <framstag@rus.uni-stuttgart.de> |
|---|---|
| Date | 2023-11-03 22:43 +0000 |
| Message-ID | <ui3t2n$2ii$1@news2.informatik.uni-stuttgart.de> |
| In reply to | #6900 |
Friedemann Stoyan <usenet@ip6-mail.de> wrote: > Auf meinem postfix Server wollen sich Gott und die Welt auf den Port > submission anmelden. Ich möchte das nicht und will das wegfiltern. Wieso blockierst du die nicht einfach mit iptables? -- Ullrich Horlacher Server und Virtualisierung Rechenzentrum TIK Universitaet Stuttgart E-Mail: horlacher@tik.uni-stuttgart.de Allmandring 30a Tel: ++49-711-68565868 70569 Stuttgart (Germany) WWW: https://www.tik.uni-stuttgart.de/
[toc] | [prev] | [next] | [standalone]
| From | Friedemann Stoyan <usenet@ip6-mail.de> |
|---|---|
| Date | 2023-11-04 04:58 +0100 |
| Message-ID | <ui4fht$15qmq$1@news.lab.swapon.de> |
| In reply to | #6903 |
Ulli Horlacher wrote: > Friedemann Stoyan <usenet@ip6-mail.de> wrote: >> Auf meinem postfix Server wollen sich Gott und die Welt auf den Port >> submission anmelden. Ich möchte das nicht und will das wegfiltern. > Wieso blockierst du die nicht einfach mit iptables? Weil ich finde, dass, wenn ich jemanden auf Applikationsebene aussperren möchte, dann auch die Applikation der erste Ansatz sein sollte. Wenn es denn möglich ist. Und hier ist es ja möglich. Wenn es denn nicht möglich ist, dann würde ich zu IP-Access-Lists greifen und wenn das nicht geht zu nftables. In dieser Reihenfolge. Kann ja sein, dass das heute nicht mehr „modern“ ist, weil man sich nicht mehr mit der Applikation beschäftigen möchte. Und dann hat alles per nftables dropt und resettet. Ich habe es auf Application-Layer aber lieber. mfg Friedemann
[toc] | [prev] | [next] | [standalone]
| From | Ulli Horlacher <framstag@rus.uni-stuttgart.de> |
|---|---|
| Date | 2023-11-04 07:12 +0000 |
| Message-ID | <ui4qtd$adl$1@news2.informatik.uni-stuttgart.de> |
| In reply to | #6904 |
Friedemann Stoyan <usenet@ip6-mail.de> wrote: > Ulli Horlacher wrote: >> Friedemann Stoyan <usenet@ip6-mail.de> wrote: > >>> Auf meinem postfix Server wollen sich Gott und die Welt auf den Port >>> submission anmelden. Ich möchte das nicht und will das wegfiltern. > >> Wieso blockierst du die nicht einfach mit iptables? > > > Weil ich finde, dass, wenn ich jemanden auf Applikationsebene aussperren > möchte, dann auch die Applikation der erste Ansatz sein sollte. Dann muss man sich mit JEDER Applikation und dessen Konfiguration auskennen. Das ist mir zu umstaendlich. Ausserdem, wenn ich jemand sperre, dann will ich mit dem GAR NICHTS mehr zu tun haben, egal welcher Service. -- Ullrich Horlacher Server und Virtualisierung Rechenzentrum TIK Universitaet Stuttgart E-Mail: horlacher@tik.uni-stuttgart.de Allmandring 30a Tel: ++49-711-68565868 70569 Stuttgart (Germany) WWW: https://www.tik.uni-stuttgart.de/
[toc] | [prev] | [next] | [standalone]
| From | "Peter J. Holzer" <hjp-usenet3@hjp.at> |
|---|---|
| Date | 2023-11-04 11:10 +0100 |
| Message-ID | <slrnukc65c.9gej.hjp-usenet3@trintignant.hjp.at> |
| In reply to | #6905 |
On 2023-11-04 07:12, Ulli Horlacher <framstag@rus.uni-stuttgart.de> wrote:
> Friedemann Stoyan <usenet@ip6-mail.de> wrote:
>> Ulli Horlacher wrote:
>>> Friedemann Stoyan <usenet@ip6-mail.de> wrote:
>>>> Auf meinem postfix Server wollen sich Gott und die Welt auf den Port
>>>> submission anmelden. Ich möchte das nicht und will das wegfiltern.
>>
>>> Wieso blockierst du die nicht einfach mit iptables?
>>
>>
>> Weil ich finde, dass, wenn ich jemanden auf Applikationsebene aussperren
>> möchte, dann auch die Applikation der erste Ansatz sein sollte.
>
> Dann muss man sich mit JEDER Applikation und dessen Konfiguration auskennen.
Bei Applikationen, die Services im Internet zur Verfügung stellen,
sollte man sich sowieso in der Konfiguration auskennen. Und sei es nur
soweit, dass man beurteilen kann, dass gewisse Teile für die eigene
Anwendung irrelevant sind und ignoriert werden können.
> Das ist mir zu umstaendlich.
iptables/nftables hat einen weiteren Vorteil: Es kommt gar keine
Verbindung zustande. Somit sind auch eventuelle Sicherheitslücken in der
Authentifikation/Autorisation nicht ausnützbar.
> Ausserdem, wenn ich jemand sperre, dann will ich mit dem GAR NICHTS mehr
> zu tun haben, egal welcher Service.
Das ist im Allgemeinen nicht der Fall. Mein Webserver soll natürlich für
alle zugänglich sein. Ebenso will ich prinzipiell Mail aus aller Welt
empfangen können (SMTP, Port 25). Aber die Personen, die die Mails dann
mittels IMAP (Ports 143, 993) lesen können bzw. welche über sen Server
verschicken (Port 587) können sollen, sind wenige und halten sich in
einigen wenigen Netzen auf. Daher macht es durchaus Sinn, IMAP und
SUBMISSION für diese Netze zu whitelisten und für alle anderen zu
sperren, während das für HTTPS und SMTP unsinnig wäre.
hp
[toc] | [prev] | [next] | [standalone]
| From | Tim Ritberg <tim@server.invalid> |
|---|---|
| Date | 2023-11-04 11:12 +0100 |
| Message-ID | <ui55e5$139qb$1@tota-refugium.de> |
| In reply to | #6906 |
Am 04.11.23 um 11:10 schrieb Peter J. Holzer: > > iptables/nftables hat einen weiteren Vorteil: Es kommt gar keine > Verbindung zustande. Somit sind auch eventuelle Sicherheitslücken in der > Authentifikation/Autorisation nicht ausnützbar. Und müllen einem das Log nicht voll... Tim
[toc] | [prev] | [next] | [standalone]
| From | Markus Schaaf <mschaaf@elaboris.de> |
|---|---|
| Date | 2023-11-04 12:41 +0100 |
| Message-ID | <ui5al3$3bipf$1@dont-email.me> |
| In reply to | #6903 |
Am 03.11.23 um 23:43 schrieb Ulli Horlacher: > Friedemann Stoyan <usenet@ip6-mail.de> wrote: > >> Auf meinem postfix Server wollen sich Gott und die Welt auf den Port >> submission anmelden. Ich möchte das nicht und will das wegfiltern. > > Wieso blockierst du die nicht einfach mit iptables? Auch wenn im Beispiel nicht zu sehen, sind die Filtermöglichkeiten durch Postfix viel umfangreicher, als reine IP-Listen. Man kann z.B. nach Domain-Namen, nach IP des Nameservers oder des MX filtern, man kann DNS-BLs abfragen usw. MfG
[toc] | [prev] | [next] | [standalone]
| From | Tim Ritberg <tim@server.invalid> |
|---|---|
| Date | 2023-11-04 13:10 +0100 |
| Message-ID | <ui5cb5$13bol$1@tota-refugium.de> |
| In reply to | #6908 |
Am 04.11.23 um 12:41 schrieb Markus Schaaf: > Am 03.11.23 um 23:43 schrieb Ulli Horlacher: >> Friedemann Stoyan <usenet@ip6-mail.de> wrote: >> >>> Auf meinem postfix Server wollen sich Gott und die Welt auf den Port >>> submission anmelden. Ich möchte das nicht und will das wegfiltern. >> >> Wieso blockierst du die nicht einfach mit iptables? > > Auch wenn im Beispiel nicht zu sehen, sind die Filtermöglichkeiten durch > Postfix viel umfangreicher, als reine IP-Listen. Man kann z.B. nach > Domain-Namen, nach IP des Nameservers oder des MX filtern, man kann > DNS-BLs abfragen usw. > Hast du übersehen, dass es um Submission geht? Das ist kein Dienst für die Allgemeinheit. Tim
[toc] | [prev] | [next] | [standalone]
| From | Markus Schaaf <mschaaf@elaboris.de> |
|---|---|
| Date | 2023-11-04 13:43 +0100 |
| Message-ID | <ui5e8t$3c7mk$1@dont-email.me> |
| In reply to | #6909 |
Am 04.11.23 um 13:10 schrieb Tim Ritberg: > Am 04.11.23 um 12:41 schrieb Markus Schaaf: >> Auch wenn im Beispiel nicht zu sehen, sind die Filtermöglichkeiten durch >> Postfix viel umfangreicher, als reine IP-Listen. Man kann z.B. nach >> Domain-Namen, nach IP des Nameservers oder des MX filtern, man kann >> DNS-BLs abfragen usw. >> > Hast du übersehen, dass es um Submission geht? > Das ist kein Dienst für die Allgemeinheit. Und? Auch da wäre es einfacher .elaboris.de OK zu schreiben, als eine Firewall zu betreiben und umständlich IP-Bereiche einzupflegen. Auf meinem Mailserver läuft z.B. gar keine Firewall. Außerdem behandle ich Submission nicht anders als SMTP, weil ich auch von unterwegs E-Mails einliefern möchte. Auch aus dem Ausland. MfG
[toc] | [prev] | [next] | [standalone]
| From | "Peter J. Holzer" <hjp-usenet3@hjp.at> |
|---|---|
| Date | 2023-11-04 13:49 +0100 |
| Message-ID | <slrnukcfek.9thn.hjp-usenet3@trintignant.hjp.at> |
| In reply to | #6909 |
On 2023-11-04 12:10, Tim Ritberg <tim@server.invalid> wrote:
> Am 04.11.23 um 12:41 schrieb Markus Schaaf:
>> Am 03.11.23 um 23:43 schrieb Ulli Horlacher:
>>> Friedemann Stoyan <usenet@ip6-mail.de> wrote:
>>>> Auf meinem postfix Server wollen sich Gott und die Welt auf den Port
>>>> submission anmelden. Ich möchte das nicht und will das wegfiltern.
>>>
>>> Wieso blockierst du die nicht einfach mit iptables?
>>
>> Auch wenn im Beispiel nicht zu sehen, sind die Filtermöglichkeiten durch
>> Postfix viel umfangreicher, als reine IP-Listen. Man kann z.B. nach
>> Domain-Namen, nach IP des Nameservers oder des MX filtern, man kann
>> DNS-BLs abfragen usw.
>>
> Hast du übersehen, dass es um Submission geht?
> Das ist kein Dienst für die Allgemeinheit.
Was umso mehr für eine komplexere Konfiguration spricht. Beispielsweise
könnte man Submission aus dem lokalen Netz ohne (weitere)
Authentifikation zulassen, die mit einem PTR-Record, der auf die Domain
des eigenen Mobilfunkbetreibers verweist, nur mit SCRAM und alle anderen
gar nicht.
hp
[toc] | [prev] | [next] | [standalone]
| From | Marcus Jodorf <m@bogomips.de> |
|---|---|
| Date | 2023-11-05 04:35 +0100 |
| Message-ID | <87lebc3mac.fsf-bofh@killfile.de> |
| In reply to | #6903 |
Ulli Horlacher <framstag@rus.uni-stuttgart.de> schrieb: > Friedemann Stoyan <usenet@ip6-mail.de> wrote: > >> Auf meinem postfix Server wollen sich Gott und die Welt auf den Port >> submission anmelden. Ich möchte das nicht und will das wegfiltern. > > Wieso blockierst du die nicht einfach mit iptables? Das wäre reichlich windowsmäßig. Ein vernünftig konfigurierter Server benötigt keinen packet-filter. Gruß, Marcus ⚂⚃
[toc] | [prev] | [next] | [standalone]
| From | Ulli Horlacher <framstag@rus.uni-stuttgart.de> |
|---|---|
| Date | 2023-11-05 08:45 +0000 |
| Message-ID | <ui7ko4$12a$1@news2.informatik.uni-stuttgart.de> |
| In reply to | #6912 |
Marcus Jodorf <m@bogomips.de> wrote: > Das wäre reichlich windowsmäßig. Ein vernünftig konfigurierter Server > benötigt keinen packet-filter. So wie ein vernuenftig administrierter Server kein backup braucht. -- Ullrich Horlacher Server und Virtualisierung Rechenzentrum TIK Universitaet Stuttgart E-Mail: horlacher@tik.uni-stuttgart.de Allmandring 30a Tel: ++49-711-68565868 70569 Stuttgart (Germany) WWW: https://www.tik.uni-stuttgart.de/
[toc] | [prev] | [next] | [standalone]
| From | Tim Ritberg <tim@server.invalid> |
|---|---|
| Date | 2023-11-05 11:23 +0100 |
| Message-ID | <ui7qf9$14k72$1@tota-refugium.de> |
| In reply to | #6913 |
Am 05.11.23 um 09:45 schrieb Ulli Horlacher: > Marcus Jodorf <m@bogomips.de> wrote: > >> Das wäre reichlich windowsmäßig. Ein vernünftig konfigurierter Server >> benötigt keinen packet-filter. > > So wie ein vernuenftig administrierter Server kein backup braucht. > > Ok warriors, choose your weapons :-P Tim
[toc] | [prev] | [next] | [standalone]
| From | Marc Haber <mh+usenetspam1118@zugschl.us> |
|---|---|
| Date | 2025-04-16 11:19 +0200 |
| Message-ID | <vtnsm8$4mof$1@news1.tnib.de> |
| In reply to | #6912 |
Marcus Jodorf <m@bogomips.de> wrote: >Ulli Horlacher <framstag@rus.uni-stuttgart.de> schrieb: > >> Friedemann Stoyan <usenet@ip6-mail.de> wrote: >> >>> Auf meinem postfix Server wollen sich Gott und die Welt auf den Port >>> submission anmelden. Ich möchte das nicht und will das wegfiltern. >> >> Wieso blockierst du die nicht einfach mit iptables? > >Das wäre reichlich windowsmäßig. Ein vernünftig konfigurierter Server ... mit Applikationen ohne Fehler ... >benötigt keinen packet-filter. Grüße Marc -- ---------------------------------------------------------------------------- Marc Haber | " Questions are the | Mailadresse im Header Rhein-Neckar, DE | Beginning of Wisdom " | Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 6224 1600402
[toc] | [prev] | [standalone]
Back to top | Article view | de.comm.software.mailserver
csiph-web