Postfix absichern ohne mynetworks

Debian macht sich hervorragend als Web- und Mailserver. Schau auch in den " Tipps und Tricks"-Bereich.
Antworten
Exxter
Beiträge: 383
Registriert: 10.01.2003 00:15:15
Lizenz eigener Beiträge: GNU General Public License

Postfix absichern ohne mynetworks

Beitrag von Exxter » 09.06.2020 15:13:41

Hallo,

gibt es einen anderen Weg, Postfix zu sagen, aus welchen Netzwerken es Mails entgegennehmen soll? Normal würde ich es so machen:

mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 10.0.31.0/24 Netzwerk Netzwerk usw ..
smtpd_client_restrictions = permit_mynetworks, reject

Das Problem daran ist, dass hinter dem Postfix hunderte OpenVPN-Netzwerke sind, die Mails verschicken können sollen und da immer wieder neue Netzwerke dazukommen. Diese haben dann IP's wie:

10.0.87.0
10.72.0.0
10.52.0.0
10.128.0.0

Nun könnte ich hergehen und alle diese Netzwerke in mynetworks eintragen, aber das möchte ich nicht.
Problem ist, die Clients in den OpenVPN-Netzwerken liefern Mails unverschlüsselt per LOGIN oder PLAIN ein. Ich möchte verhindern, dass jemand vom Internet aus Mails darüber verschicken kann, weil die unverschlüsselte Annahme von Mails aktiviert ist.
Nach oben
Benutzeravatar
HZB
Beiträge: 490
Registriert: 22.10.2003 11:52:15
Wohnort: Wien

Re: Postfix absichern ohne mynetworks

Beitrag von HZB » 09.06.2020 18:19:48

Exxter hat geschrieben: ↑ zum Beitrag ↑
09.06.2020 15:13:41
 Hallo,

gibt es einen anderen Weg, Postfix zu sagen, aus welchen Netzwerken es Mails entgegennehmen soll? Normal würde ich es so machen:

mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 10.0.31.0/24 Netzwerk Netzwerk usw ..
smtpd_client_restrictions = permit_mynetworks, reject

Das Problem daran ist, dass hinter dem Postfix hunderte OpenVPN-Netzwerke sind, die Mails verschicken können sollen und da immer wieder neue Netzwerke dazukommen. Diese haben dann IP's wie:

10.0.87.0
10.72.0.0
10.52.0.0
10.128.0.0

Nun könnte ich hergehen und alle diese Netzwerke in mynetworks eintragen, aber das möchte ich nicht.
Was ist das Problem mit mynetworks ? Zur Not nimm halt 10.0.0.0/8 wenn es zu viele Netze sind. Auch nicht sauber aber besser als hunderte einzeln.
Exxter hat geschrieben:Problem ist, die Clients in den OpenVPN-Netzwerken liefern Mails unverschlüsselt per LOGIN oder PLAIN ein.
Liefern diese Clients die Mails nur lokal zu Deinem Postfix ein ? Dann könnte man vielleicht smtpd_relay_restrictions nehmen und als Parameter eventuell $mydestination
Exxter hat geschrieben:Ich möchte verhindern, dass jemand vom Internet aus Mails darüber verschicken kann, weil die unverschlüsselte Annahme von Mails aktiviert ist.
Das versteh ich jetzt nicht ganz. Was genau meinst Du mit unverschlüsselter Annahme von Mails und was genau mit aus dem Internet darüber versenden
Nach oben
Exxter
Beiträge: 383
Registriert: 10.01.2003 00:15:15
Lizenz eigener Beiträge: GNU General Public License

Re: Postfix absichern ohne mynetworks

Beitrag von Exxter » 10.06.2020 07:50:52

HZB hat geschrieben: ↑ zum Beitrag ↑
09.06.2020 18:19:48
 Was ist das Problem mit mynetworks ? Zur Not nimm halt 10.0.0.0/8 wenn es zu viele Netze sind. Auch nicht sauber aber besser als hunderte einzeln.
Du hast Recht, ich ging davon aus, dass es öffentliche IPv4-Adresse mit 10.x.x. gibt, gibt es aber nicht:

10.0.0.0/8 (10.0.0.0 bis 10.255.255.255): Reserviert für die Nutzung in privaten Netzwerken. Nicht im Internet routbar.

Das war genau das was ich brauchte, vielen Dank :THX:
Nach oben
Antworten

Zurück zu „Web- und Mailserver“