# Postfix Problem



## sensemann (11. Aug. 2010)

Guten Tag,

Ich benutze ubuntu und ispconfig 3.

Es exsistiert eine Domain example.de und 2 Accounts. (Beispiel)
-hans
-werner

wenn diese sich authen, dürfen diese ihre Absendernamen benutzen:
hans@example.de
werner@example.de
(Supi)

nun versendet aber einer z.B. von 1234@example.de an gibts@freenet.de
und es geht, also man kann ohne authentifizierung von dieser E-Mail Domain versenden :/

wie kann ich das machen, das jeder der Versenden möchte aufgefordert wird sich zu authentifizieren.

der Empfang soll natürlich von jeder Adresse aus erlaubt sein, nur der Versand sollte nicht so willkürlich genutzt werden dürfen.

Vielen Dank!


----------



## csiebert (11. Aug. 2010)

hast du in deiner main.cf in den smtpd_recipient_restrictions auch permit_sasl_authenticated stehen?

gruß, chris


----------



## sensemann (11. Aug. 2010)

*Hey*

Ja das steht drin, ist eine unveränderte ISPConfig installation welche vor ca 1 Monat gemacht wurde mit der neusten Version.

steht auch check_recipient_access drin

würde also gerne alles was von @example.de kommen und irgendwohin geht über sasl_auth laufen lassen, sonst könnte man sagen von ihrer Domain bekommen wir spam mails.. bzw über ihren Server
:/


----------



## csiebert (11. Aug. 2010)

hast du das auch mal von "außerhalb" probiert, also nicht aus deinem netzwerk?

und was bringt postconf smtpd_recipient_restrictions bei dir als ausgabe?


----------



## sensemann (11. Aug. 2010)

*hey*

Der Server steht im Rechenzentrum, und ich bin ca 25km über mehrere Routings entfernt.
habe es auch aus dem Log erst ersehen, dass es offen ist.

der Post bringt folgende Ausgabe:
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, check_recipient_access mysql:/etc/postfix/mysql-virtual_recipient.cf, reject_unauth_destination

Danke!


----------



## csiebert (11. Aug. 2010)

hat zwar nichts mit dem problem zu tun, aber reject_non_fqdn_recipient und reject_invalid_helo_hostname sind auch immer noch ganz ratsam 

was steht bei dir bei mydestination und bei mynetworks?


----------



## sensemann (11. Aug. 2010)

myhostname = vs01.meine-domain.de (Stimmt zur /etc/hosts)
mynetworks = 127.0.0.0/8 [::1]/128

nur die interne IP für localhost


----------



## csiebert (11. Aug. 2010)

hm, sieht richtig aus... schick mir mal per pn die ip deines servers, ich schau mal, ab wo der wirklich offen ist...

gruß, chris


----------



## sensemann (11. Aug. 2010)

*hey*

so nun funktioniert das schonmal, keine Ahnung wieso!
bestehe auch alle open relay tests.

nur meine nächste Frage ist folgende:
wenn ich nun mehrere Virtuelle domains laufen lasse, können die untereinander ohne smtp auth kommunizieren, also jeder kann (wenn er weiß welche Domains auf dem Server liegen)

einen Absender benutzen und einen Empfänger mit dem Absender "Name" konsultieren ohne sich zu authen.

gibt es hierfür auch die möglichkeit den smtp auth für lokale zu lokale Domains zu fordern ?

glaube zwar nicht daran, dass ein Spam-Bot das kann aber sicher ist sicher ,)

Vielen Dank aber schonmal!
habe die beiden Entrys mit in die Main.cf aufgenommen


----------



## csiebert (12. Aug. 2010)

nein, das geht nicht - die header kann man ja prinzipiell faken, damit wäre spam ja wieder tor und tür geöffnet. lediglich wenn mails aus dem gleichen netzwerk kommen, sollte man auf eine authentifizierung verzichten...

schön, dass es jetzt klappt


----------



## sensemann (12. Aug. 2010)

*omfg*

einer der Kunden hatte einen Alias gehabt, deswegen konnte von dieser Addresse aus versendet werden.
Habe es mal auf eine vollwertige weiterleitung umgeschalten.

Nun geht es wieder.
Das was ich fragte geht, nur leider bin ich aus der übung von lpic201/2

es hat was mit check_sender_access proxy:mysql:bliubb......mysql_virtual-mailbox.cf oder wie das heisst zu tuen.

dann muss ich noch den irgendwas_mismatch hinterlegen, dann geht auch dies!
nur wie war das nochmal :/
doof wenn man aufeinmal nur noch programme schreibt und fern von allem anderen ist...

Tillllllllll 

Danke Dir, aber trotzdem schonmal!!


----------



## Till (12. Aug. 2010)

Ich weiß jetzt nicht so genau, was Du meinst. Zum senden muss immer smtp-auth verwendet werden und zwar muss als Username eine gültige Emailadresse eines Postfachs plus das zugehörige Passwort verwendet werden. Die Absenderadresse ist egal.


----------



## sensemann (12. Aug. 2010)

*hallo till*

Problem:
user@intern-domain1.de exsistiert.
1234@intern-domain1.de exsistiert nicht.

info@intern-domain2.de exsistiert.

derzeitiger stand:
1234@intern-domain1.de schickt an info@intern-domain2.de
funktioniert.

macht 1234@intern-domain1.de an exsistiert@googlele.de
bekommt er relay access denied, super!

Wo soll es hin gehen:
1234@intern-domain1.de schickt an info@intern-domain2.de
not authed

Danke!


----------



## Till (12. Aug. 2010)

Und Du hast Dich auch mit info@intern-domain2.de als Username und dem entsprechenden Passwort per SMTP-Auth eingeloggt? Poste mal die exakten Zeilen aus dem mail.log wo der login stattfindet.


----------



## sensemann (12. Aug. 2010)

*re*

220 vs01.meinserver.de ESMTP Postfix
EHLO sence.unitymedia.de
250-vs01.meinserver.de
250-PIPELINING
250-SIZE
250-VRFY
250-ETRN
250-STARTTLS
250-AUTH PLAIN LOGIN
250-AUTH=PLAIN LOGIN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
MAIL FROM:<gibbetnet@meinserver.de>
250 2.1.0 Ok
RCPT TO:<info2lokaledomain.de>
504 5.5.2 <info2lokaledomain.de>: Recipient address rejected: need fully-qualified
address
RCPT TO:<info@2lokaledomain.de>
250 2.1.5 Ok
DATA
354 End data with <CR><LF>.<CR><LF>
some text
.
250 2.0.0 Ok: queued as B19081C1022D2


----------



## Till (12. Aug. 2010)

Sieht doch ok aus und so wie es sein soll. Ist aber nicht das, wonach ich gefragt habe. Poste bitte das mail.log wor drin steht dass Du Dich ach wirklich vom versenden mit smtp-auth mit inem gültigen Benutzernamen und Passwort authentifiziert hast.

Die Sache ist doch ganz einfach, wenn Du über einen Mailserver, egal ob mit oder ohne ISPConfig, eine Email an enen dritten Server versenden willst. dann musst Du Dich per smtp-auth mit einem gültigen user und Passwort Authentifizieren. Wenn dem nicht so wäre, dann wäre Dein Server ein offenes Relay und somit eine Spamschleuder.

Ein gültiger Benutzername ist neimals eine Aliasadresse, da ein Alias ja garkein passwort hat sondern es ist immer die Emailadresse einer mailbox. das ist unabhängig davon ob Du eine Aliasadresse als Absender der Emails konfigurierst oder nicht.

An eine lokale emailadresse, egal ob alias oder Email Account kannst Du immer ohne authentifizierung senden. Sonst wäre ja der mailserver defekt, denn er würde garkeine Mails mehr anehmen.


----------

