Groups | Search | Server Info | Keyboard shortcuts | Login | Register [http] [https] [nntp] [nntps]


Groups > de.comm.software.mailserver > #6900 > unrolled thread

Postfix: submission/submissions filtern

Started byFriedemann Stoyan <usenet@ip6-mail.de>
First post2023-11-03 15:54 +0100
Last post2025-04-16 11:19 +0200
Articles 16 — 7 participants

Back to article view | Back to de.comm.software.mailserver


Contents

  Postfix: submission/submissions filtern Friedemann Stoyan <usenet@ip6-mail.de> - 2023-11-03 15:54 +0100
    Re: Postfix: submission/submissions filtern Markus Schaaf <mschaaf@elaboris.de> - 2023-11-03 16:49 +0100
      Re: Postfix: submission/submissions filtern Friedemann Stoyan <usenet@ip6-mail.de> - 2023-11-03 17:01 +0100
    Re: Postfix: submission/submissions filtern Ulli Horlacher <framstag@rus.uni-stuttgart.de> - 2023-11-03 22:43 +0000
      Re: Postfix: submission/submissions filtern Friedemann Stoyan <usenet@ip6-mail.de> - 2023-11-04 04:58 +0100
        Re: Postfix: submission/submissions filtern Ulli Horlacher <framstag@rus.uni-stuttgart.de> - 2023-11-04 07:12 +0000
          Re: Postfix: submission/submissions filtern "Peter J. Holzer" <hjp-usenet3@hjp.at> - 2023-11-04 11:10 +0100
            Re: Postfix: submission/submissions filtern Tim Ritberg <tim@server.invalid> - 2023-11-04 11:12 +0100
      Re: Postfix: submission/submissions filtern Markus Schaaf <mschaaf@elaboris.de> - 2023-11-04 12:41 +0100
        Re: Postfix: submission/submissions filtern Tim Ritberg <tim@server.invalid> - 2023-11-04 13:10 +0100
          Re: Postfix: submission/submissions filtern Markus Schaaf <mschaaf@elaboris.de> - 2023-11-04 13:43 +0100
          Re: Postfix: submission/submissions filtern "Peter J. Holzer" <hjp-usenet3@hjp.at> - 2023-11-04 13:49 +0100
      Re: Postfix: submission/submissions filtern Marcus Jodorf <m@bogomips.de> - 2023-11-05 04:35 +0100
        Re: Postfix: submission/submissions filtern Ulli Horlacher <framstag@rus.uni-stuttgart.de> - 2023-11-05 08:45 +0000
          Re: Postfix: submission/submissions filtern Tim Ritberg <tim@server.invalid> - 2023-11-05 11:23 +0100
        Re: Postfix: submission/submissions filtern Marc Haber <mh+usenetspam1118@zugschl.us> - 2025-04-16 11:19 +0200

#6900 — Postfix: submission/submissions filtern

FromFriedemann Stoyan <usenet@ip6-mail.de>
Date2023-11-03 15:54 +0100
SubjectPostfix: submission/submissions filtern
Message-ID<ui31jr$155fm$1@news.lab.swapon.de>
Moin!

Auf meinem postfix Server wollen sich Gott und die Welt auf den Port
submission anmelden. Ich möchte das nicht und will das wegfiltern.

Dazu hatte ich folgende Idee:

In der "/etc/postfix/master.cf" habe ich gesagt:

submissions     inet  n       -       n       -       -       smtpd
  -o syslog_name=postfix/submissions
  -o smtpd_tls_wrappermode=yes
  -o smtpd_sasl_auth_enable=yes
  -o local_header_rewrite_clients=static:all
  -o smtpd_reject_unlisted_recipient=no
#     Instead of specifying complex smtpd_<xxx>_restrictions here,
#     specify "smtpd_<xxx>_restrictions=$mua_<xxx>_restrictions"
#     here, and specify mua_<xxx>_restrictions in main.cf (where
#     "<xxx>" is "client", "helo", "sender", "relay", or "recipient").
#  -o smtpd_client_restrictions=
   -o smtpd_client_restrictions=$mua_client_restrictions
   -o smtpd_helo_restrictions=
#  -o smtpd_sender_restrictions=
  -o smtpd_relay_restrictions=
  -o smtpd_recipient_restrictions=reject_sender_login_mismatch,permit_sasl_authenticated,reject
  -o milter_macro_daemon_name=ORIGINATING


In der "/etc/postfix/main.cf" definiert:

# MUA checks
mua_client_restrictions =
    check_client_access cidr:/etc/postfix/mua-client-blacklist.cidr


Und in der Datei: "/etc/postfix/mua-client-blacklist.cidr":

141.98.11.0/24          REJECT blacklisted
172.88.0.0/14           REJECT blacklisted

Soweit, so gut. Das Problem ist jedoch, dass der Effekt nicht eintritt. Nichts
wird rejected! Ich sehe trotzdem noch im log:

postfix/submissions/smtpd[2097]: warning: unknown[141.98.11.82]: SASL LOGIN authentication failed: UGFzc3dvcmQ6, sasl_username=dalmaine@swapon.de


Habe ich einen Denkfehler?

mfg Friedemann

[toc] | [next] | [standalone]


#6901

FromMarkus Schaaf <mschaaf@elaboris.de>
Date2023-11-03 16:49 +0100
Message-ID<ui34q6$2r4g5$1@dont-email.me>
In reply to#6900
Am 03.11.23 um 15:54 schrieb Friedemann Stoyan:

> # MUA checks
> mua_client_restrictions =
>      check_client_access cidr:/etc/postfix/mua-client-blacklist.cidr
> 
> 
> Und in der Datei: "/etc/postfix/mua-client-blacklist.cidr":
> 
> 141.98.11.0/24          REJECT blacklisted
> 172.88.0.0/14           REJECT blacklisted
> 
> Soweit, so gut. Das Problem ist jedoch, dass der Effekt nicht eintritt. Nichts
> wird rejected! Ich sehe trotzdem noch im log:
> 
> postfix/submissions/smtpd[2097]: warning: unknown[141.98.11.82]: SASL LOGIN authentication failed: UGFzc3dvcmQ6, sasl_username=dalmaine@swapon.de
> 
> 
> Habe ich einen Denkfehler?

Check mal smtpd_delay_reject.

MfG

[toc] | [prev] | [next] | [standalone]


#6902

FromFriedemann Stoyan <usenet@ip6-mail.de>
Date2023-11-03 17:01 +0100
Message-ID<ui35h4$157ue$1@news.lab.swapon.de>
In reply to#6901
Markus Schaaf wrote:
> Am 03.11.23 um 15:54 schrieb Friedemann Stoyan:

>> # MUA checks
>> mua_client_restrictions =
>>      check_client_access cidr:/etc/postfix/mua-client-blacklist.cidr
>> 
>> 
>> Und in der Datei: "/etc/postfix/mua-client-blacklist.cidr":
>> 
>> 141.98.11.0/24          REJECT blacklisted
>> 172.88.0.0/14           REJECT blacklisted
>> 
>> Soweit, so gut. Das Problem ist jedoch, dass der Effekt nicht eintritt. Nichts
>> wird rejected! Ich sehe trotzdem noch im log:
>> 
>> postfix/submissions/smtpd[2097]: warning: unknown[141.98.11.82]: SASL LOGIN authentication failed: UGFzc3dvcmQ6, sasl_username=dalmaine@swapon.de
>> 
>> 
>> Habe ich einen Denkfehler?

> Check mal smtpd_delay_reject.

Potzblitz! Damit rejected postfix sofort! Vielen Dank.

mfg Friedemann

[toc] | [prev] | [next] | [standalone]


#6903

FromUlli Horlacher <framstag@rus.uni-stuttgart.de>
Date2023-11-03 22:43 +0000
Message-ID<ui3t2n$2ii$1@news2.informatik.uni-stuttgart.de>
In reply to#6900
Friedemann Stoyan <usenet@ip6-mail.de> wrote:

> Auf meinem postfix Server wollen sich Gott und die Welt auf den Port
> submission anmelden. Ich möchte das nicht und will das wegfiltern.

Wieso blockierst du die nicht einfach mit iptables?


-- 
Ullrich Horlacher              Server und Virtualisierung
Rechenzentrum TIK
Universitaet Stuttgart         E-Mail: horlacher@tik.uni-stuttgart.de
Allmandring 30a                Tel:    ++49-711-68565868
70569 Stuttgart (Germany)      WWW:    https://www.tik.uni-stuttgart.de/

[toc] | [prev] | [next] | [standalone]


#6904

FromFriedemann Stoyan <usenet@ip6-mail.de>
Date2023-11-04 04:58 +0100
Message-ID<ui4fht$15qmq$1@news.lab.swapon.de>
In reply to#6903
Ulli Horlacher wrote:
> Friedemann Stoyan <usenet@ip6-mail.de> wrote:

>> Auf meinem postfix Server wollen sich Gott und die Welt auf den Port
>> submission anmelden. Ich möchte das nicht und will das wegfiltern.

> Wieso blockierst du die nicht einfach mit iptables?


Weil ich finde, dass, wenn ich jemanden auf Applikationsebene aussperren
möchte, dann auch die Applikation der erste Ansatz sein sollte. Wenn es denn
möglich ist. Und hier ist es ja möglich. Wenn es denn nicht möglich ist, dann
würde ich zu IP-Access-Lists greifen und wenn das nicht geht zu nftables.
In dieser Reihenfolge.

Kann ja sein, dass das heute nicht mehr „modern“ ist, weil man sich nicht mehr
mit der Applikation beschäftigen möchte. Und dann hat alles per nftables dropt
und resettet. Ich habe es auf Application-Layer aber lieber.


mfg Friedemann

[toc] | [prev] | [next] | [standalone]


#6905

FromUlli Horlacher <framstag@rus.uni-stuttgart.de>
Date2023-11-04 07:12 +0000
Message-ID<ui4qtd$adl$1@news2.informatik.uni-stuttgart.de>
In reply to#6904
Friedemann Stoyan <usenet@ip6-mail.de> wrote:
> Ulli Horlacher wrote:
>> Friedemann Stoyan <usenet@ip6-mail.de> wrote:
> 
>>> Auf meinem postfix Server wollen sich Gott und die Welt auf den Port
>>> submission anmelden. Ich möchte das nicht und will das wegfiltern.
> 
>> Wieso blockierst du die nicht einfach mit iptables?
> 
> 
> Weil ich finde, dass, wenn ich jemanden auf Applikationsebene aussperren
> möchte, dann auch die Applikation der erste Ansatz sein sollte.

Dann muss man sich mit JEDER Applikation und dessen Konfiguration auskennen.
Das ist mir zu umstaendlich.
Ausserdem, wenn ich jemand sperre, dann will ich mit dem GAR NICHTS mehr
zu tun haben, egal welcher Service.


-- 
Ullrich Horlacher              Server und Virtualisierung
Rechenzentrum TIK
Universitaet Stuttgart         E-Mail: horlacher@tik.uni-stuttgart.de
Allmandring 30a                Tel:    ++49-711-68565868
70569 Stuttgart (Germany)      WWW:    https://www.tik.uni-stuttgart.de/

[toc] | [prev] | [next] | [standalone]


#6906

From"Peter J. Holzer" <hjp-usenet3@hjp.at>
Date2023-11-04 11:10 +0100
Message-ID<slrnukc65c.9gej.hjp-usenet3@trintignant.hjp.at>
In reply to#6905
On 2023-11-04 07:12, Ulli Horlacher <framstag@rus.uni-stuttgart.de> wrote:
> Friedemann Stoyan <usenet@ip6-mail.de> wrote:
>> Ulli Horlacher wrote:
>>> Friedemann Stoyan <usenet@ip6-mail.de> wrote:
>>>> Auf meinem postfix Server wollen sich Gott und die Welt auf den Port
>>>> submission anmelden. Ich möchte das nicht und will das wegfiltern.
>> 
>>> Wieso blockierst du die nicht einfach mit iptables?
>> 
>> 
>> Weil ich finde, dass, wenn ich jemanden auf Applikationsebene aussperren
>> möchte, dann auch die Applikation der erste Ansatz sein sollte.
>
> Dann muss man sich mit JEDER Applikation und dessen Konfiguration auskennen.

Bei Applikationen, die Services im Internet zur Verfügung stellen,
sollte man sich sowieso in der Konfiguration auskennen. Und sei es nur
soweit, dass man beurteilen kann, dass gewisse Teile für die eigene
Anwendung irrelevant sind und ignoriert werden können.

> Das ist mir zu umstaendlich.

iptables/nftables hat einen weiteren Vorteil: Es kommt gar keine
Verbindung zustande. Somit sind auch eventuelle Sicherheitslücken in der
Authentifikation/Autorisation nicht ausnützbar.

> Ausserdem, wenn ich jemand sperre, dann will ich mit dem GAR NICHTS mehr
> zu tun haben, egal welcher Service.

Das ist im Allgemeinen nicht der Fall. Mein Webserver soll natürlich für
alle zugänglich sein. Ebenso will ich prinzipiell Mail aus aller Welt
empfangen können (SMTP, Port 25). Aber die Personen, die die Mails dann
mittels IMAP (Ports 143, 993) lesen können bzw. welche über sen Server
verschicken (Port 587) können sollen, sind wenige und halten sich in
einigen wenigen Netzen auf. Daher macht es durchaus Sinn, IMAP und
SUBMISSION für diese Netze zu whitelisten und für alle anderen zu
sperren, während das für HTTPS und SMTP unsinnig wäre.

        hp

[toc] | [prev] | [next] | [standalone]


#6907

FromTim Ritberg <tim@server.invalid>
Date2023-11-04 11:12 +0100
Message-ID<ui55e5$139qb$1@tota-refugium.de>
In reply to#6906
Am 04.11.23 um 11:10 schrieb Peter J. Holzer:

> 
> iptables/nftables hat einen weiteren Vorteil: Es kommt gar keine
> Verbindung zustande. Somit sind auch eventuelle Sicherheitslücken in der
> Authentifikation/Autorisation nicht ausnützbar.
Und müllen einem das Log nicht voll...
Tim

[toc] | [prev] | [next] | [standalone]


#6908

FromMarkus Schaaf <mschaaf@elaboris.de>
Date2023-11-04 12:41 +0100
Message-ID<ui5al3$3bipf$1@dont-email.me>
In reply to#6903
Am 03.11.23 um 23:43 schrieb Ulli Horlacher:
> Friedemann Stoyan <usenet@ip6-mail.de> wrote:
> 
>> Auf meinem postfix Server wollen sich Gott und die Welt auf den Port
>> submission anmelden. Ich möchte das nicht und will das wegfiltern.
> 
> Wieso blockierst du die nicht einfach mit iptables?

Auch wenn im Beispiel nicht zu sehen, sind die 
Filtermöglichkeiten durch Postfix viel umfangreicher, als reine 
IP-Listen. Man kann z.B. nach Domain-Namen, nach IP des 
Nameservers oder des MX filtern, man kann DNS-BLs abfragen usw.

MfG

[toc] | [prev] | [next] | [standalone]


#6909

FromTim Ritberg <tim@server.invalid>
Date2023-11-04 13:10 +0100
Message-ID<ui5cb5$13bol$1@tota-refugium.de>
In reply to#6908
Am 04.11.23 um 12:41 schrieb Markus Schaaf:
> Am 03.11.23 um 23:43 schrieb Ulli Horlacher:
>> Friedemann Stoyan <usenet@ip6-mail.de> wrote:
>>
>>> Auf meinem postfix Server wollen sich Gott und die Welt auf den Port
>>> submission anmelden. Ich möchte das nicht und will das wegfiltern.
>>
>> Wieso blockierst du die nicht einfach mit iptables?
> 
> Auch wenn im Beispiel nicht zu sehen, sind die Filtermöglichkeiten durch 
> Postfix viel umfangreicher, als reine IP-Listen. Man kann z.B. nach 
> Domain-Namen, nach IP des Nameservers oder des MX filtern, man kann 
> DNS-BLs abfragen usw.
> 
Hast du übersehen, dass es um Submission geht?
Das ist kein Dienst für die Allgemeinheit.

Tim

[toc] | [prev] | [next] | [standalone]


#6910

FromMarkus Schaaf <mschaaf@elaboris.de>
Date2023-11-04 13:43 +0100
Message-ID<ui5e8t$3c7mk$1@dont-email.me>
In reply to#6909
Am 04.11.23 um 13:10 schrieb Tim Ritberg:
> Am 04.11.23 um 12:41 schrieb Markus Schaaf:

>> Auch wenn im Beispiel nicht zu sehen, sind die Filtermöglichkeiten durch
>> Postfix viel umfangreicher, als reine IP-Listen. Man kann z.B. nach
>> Domain-Namen, nach IP des Nameservers oder des MX filtern, man kann
>> DNS-BLs abfragen usw.
>>
> Hast du übersehen, dass es um Submission geht?
> Das ist kein Dienst für die Allgemeinheit.

Und? Auch da wäre es einfacher

.elaboris.de	OK

zu schreiben, als eine Firewall zu betreiben und umständlich 
IP-Bereiche einzupflegen. Auf meinem Mailserver läuft z.B. gar 
keine Firewall. Außerdem behandle ich Submission nicht anders als 
SMTP, weil ich auch von unterwegs E-Mails einliefern möchte. Auch 
aus dem Ausland.

MfG

[toc] | [prev] | [next] | [standalone]


#6911

From"Peter J. Holzer" <hjp-usenet3@hjp.at>
Date2023-11-04 13:49 +0100
Message-ID<slrnukcfek.9thn.hjp-usenet3@trintignant.hjp.at>
In reply to#6909
On 2023-11-04 12:10, Tim Ritberg <tim@server.invalid> wrote:
> Am 04.11.23 um 12:41 schrieb Markus Schaaf:
>> Am 03.11.23 um 23:43 schrieb Ulli Horlacher:
>>> Friedemann Stoyan <usenet@ip6-mail.de> wrote:
>>>> Auf meinem postfix Server wollen sich Gott und die Welt auf den Port
>>>> submission anmelden. Ich möchte das nicht und will das wegfiltern.
>>>
>>> Wieso blockierst du die nicht einfach mit iptables?
>> 
>> Auch wenn im Beispiel nicht zu sehen, sind die Filtermöglichkeiten durch 
>> Postfix viel umfangreicher, als reine IP-Listen. Man kann z.B. nach 
>> Domain-Namen, nach IP des Nameservers oder des MX filtern, man kann 
>> DNS-BLs abfragen usw.
>> 
> Hast du übersehen, dass es um Submission geht?
> Das ist kein Dienst für die Allgemeinheit.

Was umso mehr für eine komplexere Konfiguration spricht. Beispielsweise
könnte man Submission aus dem lokalen Netz ohne (weitere)
Authentifikation zulassen, die mit einem PTR-Record, der auf die Domain
des eigenen Mobilfunkbetreibers verweist, nur mit SCRAM und alle anderen
gar nicht.

        hp

[toc] | [prev] | [next] | [standalone]


#6912

FromMarcus Jodorf <m@bogomips.de>
Date2023-11-05 04:35 +0100
Message-ID<87lebc3mac.fsf-bofh@killfile.de>
In reply to#6903
Ulli Horlacher <framstag@rus.uni-stuttgart.de> schrieb:

> Friedemann Stoyan <usenet@ip6-mail.de> wrote:
>
>> Auf meinem postfix Server wollen sich Gott und die Welt auf den Port
>> submission anmelden. Ich möchte das nicht und will das wegfiltern.
>
> Wieso blockierst du die nicht einfach mit iptables?

Das wäre reichlich windowsmäßig. Ein vernünftig konfigurierter Server
benötigt keinen packet-filter.


Gruß,

Marcus
⚂⚃

[toc] | [prev] | [next] | [standalone]


#6913

FromUlli Horlacher <framstag@rus.uni-stuttgart.de>
Date2023-11-05 08:45 +0000
Message-ID<ui7ko4$12a$1@news2.informatik.uni-stuttgart.de>
In reply to#6912
Marcus Jodorf <m@bogomips.de> wrote:

> Das wäre reichlich windowsmäßig. Ein vernünftig konfigurierter Server
> benötigt keinen packet-filter.

So wie ein vernuenftig administrierter Server kein backup braucht.


-- 
Ullrich Horlacher              Server und Virtualisierung
Rechenzentrum TIK
Universitaet Stuttgart         E-Mail: horlacher@tik.uni-stuttgart.de
Allmandring 30a                Tel:    ++49-711-68565868
70569 Stuttgart (Germany)      WWW:    https://www.tik.uni-stuttgart.de/

[toc] | [prev] | [next] | [standalone]


#6914

FromTim Ritberg <tim@server.invalid>
Date2023-11-05 11:23 +0100
Message-ID<ui7qf9$14k72$1@tota-refugium.de>
In reply to#6913
Am 05.11.23 um 09:45 schrieb Ulli Horlacher:
> Marcus Jodorf <m@bogomips.de> wrote:
> 
>> Das wäre reichlich windowsmäßig. Ein vernünftig konfigurierter Server
>> benötigt keinen packet-filter.
> 
> So wie ein vernuenftig administrierter Server kein backup braucht.
> 
> 

Ok warriors, choose your weapons :-P

Tim

[toc] | [prev] | [next] | [standalone]


#7195

FromMarc Haber <mh+usenetspam1118@zugschl.us>
Date2025-04-16 11:19 +0200
Message-ID<vtnsm8$4mof$1@news1.tnib.de>
In reply to#6912
Marcus Jodorf <m@bogomips.de> wrote:
>Ulli Horlacher <framstag@rus.uni-stuttgart.de> schrieb:
>
>> Friedemann Stoyan <usenet@ip6-mail.de> wrote:
>>
>>> Auf meinem postfix Server wollen sich Gott und die Welt auf den Port
>>> submission anmelden. Ich möchte das nicht und will das wegfiltern.
>>
>> Wieso blockierst du die nicht einfach mit iptables?
>
>Das wäre reichlich windowsmäßig. Ein vernünftig konfigurierter Server

... mit Applikationen ohne Fehler ...

>benötigt keinen packet-filter.

Grüße
Marc
-- 
----------------------------------------------------------------------------
Marc Haber         |   " Questions are the         | Mailadresse im Header
Rhein-Neckar, DE   |     Beginning of Wisdom "     | 
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 6224 1600402

[toc] | [prev] | [standalone]


Back to top | Article view | de.comm.software.mailserver


csiph-web