Postfix & Submission

[LeoLinux]

Hi,

wie mir kürzlich erklärt wurde sollte man für seinen Postfix MTA Submission als eingehenden Mailtransfer für seine Mailbenutzer einrichten und den standard Port 25 nur für die Kommunikation zwischen den MTAs freihalten. Das wiederum hat den netten "Sideeffect" SpamAssassin und Clam Virusscans auch nur bei eingehenden Mails durchzuführen und nicht auch noch für ausgehende ... und genau das brauche ich auch.

Leider habe ich bei der ganzen Sache noch ein kleines verständnis Problem ...
Klar, über Port 578 dürfen nur SASL authentifizierte Benutzer eMails versenden, aber was ist mit dem Port 25?! Ich möchte der Öffentlichkeit ja kein "open mail relay" zur Verfügung stellen ?! Bisher habe ich meinen Postfix zu Testzwecken wiefolgt konfiguriert:
34823

Mein Ziel ist es nun, wie schon bereits erwähnt, dass sich meine Benutzer ausschließlich über den Port 578 authentifizieren und eMails verschicken können - nicht aber mehr über den Port 25 - dieser sollte nur für den Verkehr zu anderen MTAs zur Verfügung stehen - gleichzeitig möchte ich aber auch eine "open relay" Konfiguration vermeiden. ... Klar da möchte man natürlich keinen Fehler machen, deshalb bitte ich um etwas Hilfe und Tips um genau solche fatalen Fehler zu vermeiden.

Vielen Dank & Grüße

LeoLinux

[daniel74]

Leider habe ich bei der ganzen Sache noch ein kleines verständnis Problem ...
Klar, über Port 578 dürfen nur SASL authentifizierte Benutzer eMails versenden, aber was ist mit dem Port 25?! Ich möchte der Öffentlichkeit ja kein "open mail relay" zur Verfügung stellen ?!

Das kommt darauf an, wie du die smtpd_recipient_restrictions in der main.cf konfiguriert hast. Standardmäßig lässt Postfix aber keinen unerlaubten Versand von E-Mails zu. Auch ist das der Port 587, nicht 578.

Bisher habe ich meinen Postfix zu Testzwecken wiefolgt konfiguriert:

Code: Alles auswählen

# ==========================================================================
# service type  private unpriv  chroot  wakeup  maxproc command + args
#               (yes)   (yes)   (yes)   (never) (100)
# ==========================================================================


smtp      inet  n       -       n       -       -       smtpd
     -o content_filter=spamassassin

#submission inet n       -       n       -       -       smtpd
#     -o smtpd_tls_security_level=encrypt
#     -o smtpd_sasl_auth_enable=yes
#     -o smtpd_client_restrictions=permit_sasl_authenticated,reject
#     -o milter_macro_daemon_name=ORIGINATING


smtps     inet  n       -       n       -       -       smtpd
     -o content_filter=spamassassin
     -o smtpd_tls_wrappermode=yes
     -o smtpd_tls_wrappermode=yes
     -o smtpd_client_restrictions=permit_sasl_authenticated,reject
#     -o milter_macro_daemon_name=ORIGINATING

Du weisst schon, dass submission und smtps unterschiedliche Ports nutzen? smtps nutzt Port 465, submission den Port 587. Wenn du submission nutzen möchtest, solltest du das in der master.cf entsprechend konfigurieren...

Mein Ziel ist es nun, wie schon bereits erwähnt, dass sich meine Benutzer ausschließlich über den Port 578 authentifizieren und eMails verschicken können - nicht aber mehr über den Port 25 - dieser sollte nur für den Verkehr zu anderen MTAs zur Verfügung stehen - gleichzeitig möchte ich aber auch eine "open relay" Konfiguration vermeiden. ... Klar da möchte man natürlich keinen Fehler machen, deshalb bitte ich um etwas Hilfe und Tips um genau solche fatalen Fehler zu vermeiden.

Wie gesagt, standardmäßig ist Postfix kein offenes Relay. Solange du die Option "reject_unauth_destination (oder "reject") in der main.cf angegeben und nicht explizit für jedermann den Versand von E-Mails erlaubt hast, sollte da nichts passieren. Wenn du auch für ausgehende E-Mails keine Filterung durchführen möchtest, dann solltest du die Option "content_filter" in der master.cf löschen.

Auch solltest du ggf. die Restriktionen in der master.cf angeben anstatt global in der main.cf. Beispiel:

/etc/postfix/main.cf

Code: Alles auswählen

smtpd_recipient_restrictions = permit_mynetworks, reject_unauth_destination

/etc/postfix/master.cf

Code: Alles auswählen

smtp      inet  n       -       n       -       -       smtpd
  -o smtpd_recipient_restrictions=reject_non_fqdn_recipient,reject_non_fqdn_sender,reject_unknown_recipient_domain,reject_unknown_sender_domain,permit_mynetworks,reject_unauth_destination
  -o content_filter=spamassassin

submission      inet  n       -       n       -       -       smtpd
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_recipient_restrictions=reject_non_fqdn_recipient,reject_non_fqdn_sender,reject_unknown_recipient_domain,reject_unknown_sender_domain,permit_sasl_authenticated,reject
  -o smtpd_tls_security_level=may
  -o smtpd_tls_auth_only=yes
  -o content_filter=

Für submission wird der Content Filter deaktiviert, für den Port 25 ist dieser jedoch aktiv. Weiterhin ist so keine Authentifizierung über den Port 25 möglich, nur über 587.

[LeoLinux]

Hi daniel74,

vielen Dank für deine Antwort. Also ich habe mich jetzt etwas probiert und mein Postfix wie folgt konfiguriert:

Port 25: lässt keine eMails von meinen SQL-Benutzern mehr rein - dafür jedoch noch lokale Benutzer ;( . Zuerst wird ClamSMTP und dann SpamAssassin involviert.
Port 587: Offizieller Port für meine SQL-Benutzer um eMails zu versenden, TLS möglich, kein "content"-Scanning
Port 465: Alternative zu 587 nur eben mit SSL, kein "content"-Scanning

Ich habe mit meinem Thunderbird soweit alles erdenklich getestet - und es scheint -fast- zu funktionieren wie ich mir das vorgestellt habe.
- Bezüglich der vergebenen Einschränkungen fühle ich mich noch immer etwas unsicher, ob an dieser Stelle auch wirklich genug getan wurde.
- Zudem sticht mir seit kurzem eine Fehlermeldung ins Auge, welche ich nicht ganz zuzuordnen weiß ...:

Code: Alles auswählen

cat /var/log/maillog

Aug  8 21:06:56 server postfix/smtp[3106]: warning: network_biopair_interop: error reading 5 bytes from the network: Connection reset by peer
Aug  8 21:06:56 server postfix/qmgr[2668]: C44B7924F0: removed

^^ Die Mail scheint aber dennoch ganz normal an ihr gewünschtes Ziel zukommen. Die Meldung kommt nur, wenn man mit Thunderbird eine TLS Verbindung via 587 aufbaut?!



Und zu guter letzt habe ich hier nocheinmal meine Konfigurationen. Ich wäre dankbar für eine Art "Korrekturlesen" und Kritik daran, denn wie bereits in meinem ersten Post erwähnt ist das aufsetzten eines Mailservers ein heikle Sache bei der man ungern etwas "unsicher" betreiben möchte - und auch ich bin kein Überflieger und habe hier und da vielleicht nicht alles 100%ig verstanden

main.cf
34821

master.cf
34822

Vielen Dank

Beste Grüße
LeoLinux

[LeoLinux]

P.S. Ich konnte das hier zu meinem Fehler finden:

Code: Alles auswählen

Aug  8 21:06:56 server postfix/smtp[3106]: warning: network_biopair_interop: error reading 5 bytes from the network: Connection reset by peer

The TLS protocol is a "message" protocol layered over TCP, each message
starts with a 5-byte header that specifies the message type and length.
In this case the connection was previously abruptly closed by the remote
host, so the attempt to read the peer-host's next message fails in this
particular way.

Quelle: http://marc.info/?l=postfix-users&m=120693352632430&w=2

... jedoch bin ich nicht arg viel schlauer geworden, wo ich da denn jetzt am besten anpacke. Mein Yertifikat ist selbstsigniert - könnte das das Problem sein?



Grüße

[Meo]

Soweit ich weis liegt es wohl mit an der TLS verbindung.

Könntest mal, testweise, smtpd_tls_ask_ccert = no setzen.

[daniel74]

Habe da noch ein paar Hinweise:

main.cf

Code: Alles auswählen

mynetworks_style = subent

Das sollte

Code: Alles auswählen

mynetworks_style = subnet

heißen. "virtual_maps" sollte nciht mehr verwendet werden. Zitat:

Available before Postfix version 2.0. With Postfix version 2.0 and later, this is replaced by separate controls: virtual_alias_domains and virtual_alias_maps.

Wenn du "virtual users/domains" verwendest,sollten die virtuellen Domains in "virtual_mailbox_domains" angegeben sein, da nur dann auch der Transport über Dovecot möglich ist. Weiterhin dürfen dann die virtuellen Domains nicht in "mydestination" gelistet sein - die Option

Code: Alles auswählen

mydestination = $myhostname, localhost.$mydomain, localhost, pgsql:/usr/local/etc/postfix/virtual_mydestination

muss daher entsprechend geändert werden (entfernen von pgsql:/usr/local/etc/postfix/virtual_mydestination - dies sollte dann eher in virtual_mailbox_domains).

Bei der Option

Code: Alles auswählen

smtpd_sasl_security_options = noanonymous, noplaintext

sollte zumindest die Option "noplaintext" entfernt werden. Einerseits ist dies nur für Cyrus SASL nötigt und andererseits kann es mit Dovecot Probleme geben.

[LeoLinux]

Guten Morgen,

@daniel74: Vielen Dank für deine Antwort & die damit verbundenen Mühen!

Wenn du "virtual users/domains" verwendest,sollten die virtuellen Domains in "virtual_mailbox_domains" angegeben sein, da nur dann auch der Transport über Dovecot möglich ist.

Danke, da werde ich mich heute abend nach Feierabend dran machen und dann Rückmeldung geben.

Code: Alles auswählen

mydestination = $myhostname, localhost.$mydomain, localhost, pgsql:/usr/local/etc/postfix/virtual_mydestination

Musste ich damals glaube ich mit aufnehmen um das Root Alias zum Laufen zu bringen?! Wie gesagt, ich versuche mich heute abend daran und gebe auch Rückmeldung darüber.

Code: Alles auswählen

smtpd_sasl_security_options = noanonymous, noplaintext

sollte zumindest die Option "noplaintext" entfernt werden. Einerseits ist dies nur für Cyrus SASL nötigt und andererseits kann es mit Dovecot Probleme geben.

Habe ich deshalb so belassen, weil ich ursprünglich eigentlich den Plan verfolgt habe, dass Plaintext _nur_ innerhalb einer TLS / SSL Verbindung zur Verfügung steht. Aber so wie es mir scheint werde ich davon wohl absehen. Liegen irgendwelche bekannten Probleme vor, die eine Plaintext Authentifikation als notwendiges "must have" vorsehen um umgangen zu werden? Irgendwelche bekannten inkompatibilitäten?




... Nochmal zurück zu meinem Submission Problem, oder bessergesagt den Reject Regeln:

Code: Alles auswählen

smtp      inet  n       -       n       -       -       smtpd
  -o smtpd_recipient_restrictions=reject_non_fqdn_recipient,reject_non_fqdn_sender,reject_unknown_recipient_domain,reject_unknown_sender_domain,permit_mynetworks,reject_unauth_destination
  -o content_filter=spamassassin

... besagt ja, "reject_unknown_recipient_domain", was mir unbekannte Empfänger abwehrt - also alle, die nicht als Lokal gelistet sind. Das hat aber zur Folge, dass ich über Port 25 Mails an root und anderen Benutzern aus meiner SQL Liste eMails versenden kann. Dementsprechend ist auch die Fehlermeldung im Thunderbird - Relay Access Denied - man solle die eMail Adresse an die man gerade die eMail verschicken wollte doch nochmals überprüfen. Am liebsten hätte ich es jedoch komplett "gesperrt", sodass gar keine SASL Authentifizierung mehr über Port 25 möglich ist - eben nur noch der MTA Verkehr untereinander. Ich dachte, dass ich dem mit folgendem entgegenwirken könnte:

Code: Alles auswählen

smtp      inet  n       -       n       -       -       smtpd
  -o smtpd_sasl_auth_enable=no
  -o smtpd_recipient_restrictions=reject_non_fqdn_recipient,reject_non_fqdn_sender,reject_unknown_recipient_domain,reject_unknown_sender_domain,permit_mynetworks,reject_unauth_destination
  -o content_filter=spamassassin

... ich bekomme jedoch leider immer noch den selben Fehler, anstelle nur eines "Relay Access denied" Fehlers?!


Vielen Dank & Viele Grüße

[daniel74]

Code: Alles auswählen

mydestination = $myhostname, localhost.$mydomain, localhost, pgsql:/usr/local/etc/postfix/virtual_mydestination

Musste ich damals glaube ich mit aufnehmen um das Root Alias zum Laufen zu bringen?! Wie gesagt, ich versuche mich heute abend daran und gebe auch Rückmeldung darüber.

Lokale Aliase (für root etc) werden normalerweise in /etc/aliases verwaltet.

Code: Alles auswählen

smtpd_sasl_security_options = noanonymous, noplaintext

sollte zumindest die Option "noplaintext" entfernt werden. Einerseits ist dies nur für Cyrus SASL nötigt und andererseits kann es mit Dovecot Probleme geben.

Habe ich deshalb so belassen, weil ich ursprünglich eigentlich den Plan verfolgt habe, dass Plaintext _nur_ innerhalb einer TLS / SSL Verbindung zur Verfügung steht. Aber so wie es mir scheint werde ich davon wohl absehen. Liegen irgendwelche bekannten Probleme vor, die eine Plaintext Authentifikation als notwendiges "must have" vorsehen um umgangen zu werden? Irgendwelche bekannten inkompatibilitäten?

Primär sind diese Optionen nur für Cyrus SASL wichtig - mit Dovecot funktionieren diese Optionen nicht so, wie sie eigentlich gedacht sind. Um zu verhindern, daß Klartextpasswörter ohne SSL/TLS übertragen werden, kann man "smtpd_tls_auth_only = yes" in der main.cf (oder master.cf) verwenden. Somit wird die Authentifizierung nur ermöglicht, wenn eine sichere Verbindung verwendet wird. Solltest du in der main.cf "noplaintext" verwenden, kommt es meist zu der Meldung "no SASL authentication mechanisms available".

... Nochmal zurück zu meinem Submission Problem, oder bessergesagt den Reject Regeln:

Code: Alles auswählen

smtp      inet  n       -       n       -       -       smtpd
  -o smtpd_recipient_restrictions=reject_non_fqdn_recipient,reject_non_fqdn_sender,reject_unknown_recipient_domain,reject_unknown_sender_domain,permit_mynetworks,reject_unauth_destination
  -o content_filter=spamassassin

... besagt ja, "reject_unknown_recipient_domain", was mir unbekannte Empfänger abwehrt - also alle, die nicht als Lokal gelistet sind.

Das heißt, die Empfänger Domain muss einen DNS Eintrag haben - die Domain muss also existieren (A- bzw. MX EIntrag). Unbekannte/nicht existierende Empfänger werden von Postfix standardmäßig abgelehnt.

Das hat aber zur Folge, dass ich über Port 25 Mails an root und anderen Benutzern aus meiner SQL Liste eMails versenden kann. Dementsprechend ist auch die Fehlermeldung im Thunderbird - Relay Access Denied - man solle die eMail Adresse an die man gerade die eMail verschicken wollte doch nochmals überprüfen. Am liebsten hätte ich es jedoch komplett "gesperrt", sodass gar keine SASL Authentifizierung mehr über Port 25 möglich ist - eben nur noch der MTA Verkehr untereinander. Ich dachte, dass ich dem mit folgendem entgegenwirken könnte:

Code: Alles auswählen

smtp      inet  n       -       n       -       -       smtpd
  -o smtpd_sasl_auth_enable=no
  -o smtpd_recipient_restrictions=reject_non_fqdn_recipient,reject_non_fqdn_sender,reject_unknown_recipient_domain,reject_unknown_sender_domain,permit_mynetworks,reject_unauth_destination
  -o content_filter=spamassassin

... ich bekomme jedoch leider immer noch den selben Fehler, anstelle nur eines "Relay Access denied" Fehlers?!

Man kann E-Mails an lokale Empfänger sperren - würde ich aber nicht machen, da die Mails ja "lokal" bleiben. Mit "smtpd_sasl_auth_enable=no" sind die SASL Mechanismen gesperrt, so dass keine Anmeldung möglich ist. Postfix bietet somit kein "AUTH" mehr an. Um einzelne Empfänger zu sperren würde ich eine access_map (check_recipient_access) verwenden. P.S.: von extern können dir Anwender nur E-Mails an die Empfänger schicken, die beispielsweise in virtual_alias_maps angegeben sind. Ein Versand an "root@deine_domain.de" ist nicht möglich, da dies ein Systembenutzer ist und kein "virtueller" Benutzer.

Welchen Fehler meinst du? Den mit dem 5 Byte Error? Hast du mal die Option von Meo probiert?

[LeoLinux]

Hi,

@Meo:

Könntest mal, testweise, smtpd_tls_ask_ccert = no setzen.

Habe ich soeben erprobt - hat leider nichts geholfen. Der Fehler taucht dennoch wieder in der maillog auf, wenn man eine eMail mit Thunderbird versendet und dabei TLS verwendet ;/

Lokale Aliase (für root etc) werden normalerweise in /etc/aliases verwaltet.

Schon richtig, aber fakt ist, dass die /etc/alias ignoriert wurde. Nur wenn ich in meine SQL Tabelle "virtual" in das Feld "address" eine eMail Adresse eintrage und in das Feld "userid" root eintrage ... nur dann werden die eMails auch geforwarded wie das für gewöhnlich bei /etc/aliases zu erwarten ist ...

Code: Alles auswählen

server [~]# echo "SELECT address,userid FROM virtual;" | psql -U pgsql eMail ;
          address          | userid 
---------------------------+--------
 admin@domain.tld           | root
(1 row)

server [~]#

Ich hätte es auch wieder lieber über die /etc/aliases gelöst, denn hierfür ne SQL-Tabelle zu haben ist in meinem Fall eher überflüssig ...

Man kann E-Mails an lokale Empfänger sperren - würde ich aber nicht machen, da die Mails ja "lokal" bleiben.

... gebe ich dir Recht, Problem ist aber, dass auf dem Server auch ein WebServer mit PHP, Perl, Ruby, etc. bespielt ist ... da genügt ein

Code: Alles auswählen

<?php shell_exec('/bin/echo "Viagra" | /usr/bin/mail -s "BamSpam" user@domain.tld'); ?>

... und man kann sich vorstellen was dann sonst noch so abgeht ... von dem her wäre es schon ein "must have" das abzuschalten, aber wenn möglich natürlich OHNE die Mails von den Daemons etc. an root zu verlieren ... das sollte schon noch funktionieren. ... Ich befürchte aber, dass ich da mit Jails besser bedient bin, oder gibt es dafür ne schlichte/gängige Lösung?
--> Ich werde mich jetzt mal zu "access_map (check_recipient_access)" schlau machen - das hört sich nach was an...

Code: Alles auswählen

Ein Versand an "root@deine_domain.de" ist nicht möglich, da dies ein Systembenutzer ist und kein "virtueller" Benutzer.

Doch, das ist es aber gerade. Ich kann mir selbst von extern eine eMail an root@domain.tld und diese wird dann geforwarded wie ich es in der SQL Tabelle angegeben habe?!


Vielen Dank & Grüße
LeoLinux

[LeoLinux]

Zu Korrekturvorschlägen der "virtual"-Fehlkonfiguration:
... also, ich habe mich jetzt die letzten Stunden nochmal dran gemacht und mein bestes gegeben, meine "virtual"-Fehlkonfiguration zu korrigieren:

main.cf:
34827

master.cf
34828

… und zu guter letzt noch die SQL-Referenzen:
34829

Wäre sehr nett, wenn da nochmal ein Blick drüber geworfen werden könnte, aber ich fühle mich schon wesentlich sicherer als das letzte Mal.



Zu dem TLS Fehler:
Leider habe ich diesbezüglich noch keine positive Nachricht.

Code: Alles auswählen

Aug  9 21:30:01 server postfix/smtp[7968]: warning: network_biopair_interop: error reading 5 bytes from the network: Connection reset by peer

erscheint immer noch.
Die Posts habe ich auch gelesen: http://de.postfix.org/pipermail/postfix ... 00891.html leider hat das bei mir nicht hingehauen. Hat das vielleicht den Grund, dass ich es durch andere Optionen wieder ausheble?!



Zu den MTA Einschränkungen auf Port 25 - "check_recipient_access":
- http://www.postfix.org/postconf.5.html# ... ent_access
- http://www.postfix.org/access.5.html
... hört sich so gesehen fett an - so kann ich sagen, dass nur wenn eMail von außen mit einem gültigen Benutzer meines Systems ankommt, auch durchkommt - der Rest kann dann geblockt/rejected werden. Wäre interesant in wie weit ich SQL mit einbinden kann ... ansonsten wäre es eher lästig das File auf jedem Server auf dem aktuellsten Stand zu halten ...
Zudem wäre noch interressant wie man das denn am besten in der master.cf unterbringt?!



Viele Grüße
LeoLinux

[Meo]

Kommt den der Fehler bei der Verbindung vom Client zu deinen Server, oder kommt der vom annehmenden MailServer?

Könntest ja mal das TLS-Loglevel höher setzen, vieleicht steht da ja noch mehr da.

Könntest ja noch Realtime Blockhole List abfragen, wie zen.spamhaus.org.

[daniel74]

Hi,

erstmal: die Konfigurationsdateien sehen gut aus...

Zu dem TLS Fehler:
Leider habe ich diesbezüglich noch keine positive Nachricht.

Code: Alles auswählen

Aug  9 21:30:01 server postfix/smtp[7968]: warning: network_biopair_interop: error reading 5 bytes from the network: Connection reset by peer

erscheint immer noch.
Die Posts habe ich auch gelesen: http://de.postfix.org/pipermail/postfix ... 00891.html leider hat das bei mir nicht hingehauen. Hat das vielleicht den Grund, dass ich es durch andere Optionen wieder ausheble?!

Die Meldung wird von einer anderen Anwendung verursacht - könnte ggf. von einem Content-Filter kommen, wenn die Mail wieder an Postfix übergeben wird etc.

Einerseits kann die Meldung ignoriert werden, andererseits könnte man versuchen, TLS für 127.0.0.1 zu deaktivieren. Beispiel:

/etc/main.cf

Code: Alles auswählen

smtpd_discard_ehlo_keyword_address_maps = hash:/etc/postfix/discard_ehlo_keywords

/etc/postfix/discard_ehlo_keywords

Code: Alles auswählen

127.0.0.1 starttls,silent-discard

Zu den MTA Einschränkungen auf Port 25 - "check_recipient_access":
- http://www.postfix.org/postconf.5.html# ... ent_access
- http://www.postfix.org/access.5.html
... hört sich so gesehen fett an - so kann ich sagen, dass nur wenn eMail von außen mit einem gültigen Benutzer meines Systems ankommt, auch durchkommt - der Rest kann dann geblockt/rejected werden. Wäre interesant in wie weit ich SQL mit einbinden kann ... ansonsten wäre es eher lästig das File auf jedem Server auf dem aktuellsten Stand zu halten ...
Zudem wäre noch interressant wie man das denn am besten in der master.cf unterbringt?!

Nur nicht mit einem Leerzeichen (in der master.cf)

Möglich ist aber mit

Code: Alles auswählen

-o=....,check_recipient_access,mysql:/etc/postfix/mysql-recipient.cf,....

In der Tabelle gibt's dann ein Feld "Empfänger" und ein Feld mit der Aktion (OK,Reject etc.). Dann noch dei passende Query ausführen, die die Aktion angibt. Diese Prüfung kann releativ früh erfolgen, wobei man das ohne weiteres nach "reject_unauth_destination" einbauen kann. Sollte auf alle Fälle vor weiteren Prüfungen, wie DNSBL's, Greylisting etc. kommen...