# Wieder mal amavis: Open relay? Nonlocal recips but not originating



## Sir Henry (4. Feb. 2013)

Diese Amavis-Warnung gibt es ja seit einiger Zeit, und ich habe sie bisher ignoriert. Nun möchte ich sie loswerden und habe dazu recherchiert und auch einiges gefunden.

Die Warnung wird ausgegeben, wenn Amavis eine Mail an einen nicht-lokalen Empfänger entdeckt und die Mail nicht von einem lokalen Absender stammt. Das ist sinnvoll.

Ein lokaler Absender hat das Amavis-Flag originating = 1. Dies ist automatisch der Fall für alle IPs, die in @mynetworks gelistet sind, was z.B. auf Foren oder andere Software zutrifft, die auf dem Server installiert ist und Mail versendet.

Jetzt möchte ich aber zusätzlich die Mails als lokal kennzeichnen, die von SASL-authenticated Absendern kommen. Eine Empfehlung in einem Forum war diese, basierend auf der Tatsache, dass alle Mails über den Port 10024 von Postfix an Amavis gemeldet werden:


```
$interface_policy{'10024'} = 'SASL_AUTH';
$policy_bank{'SASL_AUTH'} = {
  originating => 1,
};
```
Das unterdrückt zwar die Warnungen, geht aber zu weit. Es werden nämlich alle Mails über den Port 10024 geleitet, auch die von externen nicht-authentifizierten Einlieferern. Das wäre doch ein Freibrief für alle!?

Daher die Frage: Kann man die SASL-authenticated Mails über einen anderen Port an amavis schleusen? Oder gibt es eine andere Lösung?


----------



## gpkvt (8. Feb. 2013)

Hast du in deiner amavisd.conf einen mynetworks-Eintrag?

@mynetworks = qw(
  0.0.0.0/8 127.0.0.0/8 [::1] [FE80::]/10 [FEC0::]/10
  169.254.0.0/16 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16
...
);

Steht da alles wichtige drin?


----------



## Sir Henry (8. Feb. 2013)

Ja, es funktioniert ja auch für lokale Empfänger. Das Problem sind ja die nicht-lokalen Absender, die an nicht-lokale Empfänger senden.


----------



## gpkvt (8. Feb. 2013)

Die sollen sowas ja auch gar nicht erst dürfen?! Wäre ja ein OpenRelay. Was ist dein MTA? Postfix?

https://www.21x9.org/e-mail-server-3-postfix-debian-wheezy/


----------



## Sir Henry (8. Feb. 2013)

Doch, sollen sie, wenn sie SASL authentifiziert sind. Das ist es ja gerade!

Ja, Postfix.

Ich werde jetzt diese Warnung einfach abschalten, da ich weiß, dass Postfix gut konfiguriert ist und kein offenes Relay darstellt:


```
$interface_policy{'10024'} = 'ORIGINATING';
$policy_bank{'ORIGINATING'} = {
    originating => 1,  # declare that mail was submitted by our smtp client
};
```


----------



## gpkvt (8. Feb. 2013)

Was sagt Open Relay Test wenn du dort die IP von deinem Mailserver angibst?


----------



## Sir Henry (8. Feb. 2013)

Ich danke dir wirklich für deine Bemühungen, aber deine Fragen sind in keiner Weise zielführend.


----------



## gpkvt (9. Feb. 2013)

Ich wollte nur sichergehen, dass du wirklich kein OpenRelay gezimmert hast, die SASL-Auth hatte ich anfangs überlesen.

Eventuell kommst du deinen Ziel mit Transport-Maps näher: Postfix manual - transport(5)


----------

