AbcLinuxu:/ Poradna / Unixová poradna / Postfix a open smtp relay

Štítky: e-mail, Internet, MTA, open, Postfix, SMTP, TLS

Dotaz: Postfix a open smtp relay

17.6.2009 19:44 Toman | skóre: 29 | blog: Tomanův blog | Kostelec nad Orlicí
Postfix a open smtp relay

Přečteno: 1293×

Odpovědět | Admin

Zdravím, kde dělám chybu, pořád můžu smtp používat veřejně.

smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
biff = no
append_dot_mydomain = no
#delay_warning_time = 4h
myhostname = NEJAKETAJNEJMENO.CZ
myorigin = TAJNEJMENO.CZ
mydestination = localhost
relayhost =
mynetworks = 127.0.0.0/8
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all

# Virtual mailbox settings
virtual_mailbox_domains = proxy:mysql:$config_directory/mysql_virtual_domains_maps.cf
virtual_mailbox_base = /var/vmail
virtual_mailbox_maps = proxy:mysql:$config_directory/mysql_virtual_mailbox_maps.cf
virtual_alias_maps = proxy:mysql:$config_directory/mysql_virtual_alias_maps.cf
virtual_minimum_uid = 333
virtual_uid_maps = static:333
virtual_gid_maps = static:8
virtual_transport = dovecot
dovecot_destination_recipient_limit = 1
# SASL Authentication
smtpd_sasl_auth_enable = yes
smtpd_sasl_exceptions_networks = $mynetworks
smtpd_sasl_security_options = noanonymous
broken_sasl_auth_clients = yes
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth

smtpd_recipient_restrictions =
        permit_mynetworks
        permit_sasl_authenticated
        reject_unauth_destination
        permit


# TLS
smtpd_tls_cert_file = /etc/ssl/CESTA/mailserver/mail-cert.pem
smtpd_tls_key_file = /etc/ssl/CESTA/mailserver/mail-key.pem
smtpd_tls_session_cache_database = btree:/var/spool/postfix/smtpd_tls_session_cache
smtpd_tls_security_level = may
smtpd_tls_received_header = no
smtpd_tls_loglevel = 0
tls_random_source = dev:/dev/urandom

Díky za pomoc, je to main.cf z postfixu.

Have you tried turning it off and on again? | tomaskavalek.cz | Google

Nástroje: Začni sledovat (0) ?

Odpovědi

17.6.2009 20:40 cynic_asshole | skóre: 28
Rozbalit Rozbalit vše Re: Postfix a open smtp relay

A co to znamená, že jde použít veřejně?

Neznáš nějakou linuxovou distribuci pro Windows?

17.6.2009 21:01 pupala | skóre: 21
Rozbalit Rozbalit vše Re: Postfix a open smtp relay

Tu je open relay test - testni sa.

17.6.2009 21:29 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Postfix a open smtp relay

Podle toho konfiguráku to nevypadá, že by to byl open-relay. Zkuste si přes postconf vypsat, zda Postfix používá opravdu ty hodnoty zadané v konfiguráku.

17.6.2009 21:49 Toman | skóre: 29 | blog: Tomanův blog | Kostelec nad Orlicí
Rozbalit Rozbalit vše Re: Postfix a open smtp relay

Mozna jsem se spatne vyjadril :-)

No jde o to, ze pres ten server odesle postu kdokoliv, a to ja nechci, chci aby to slo jen z localhostu. Koukam jeste, ze jsem to dal do jine poradny, mel to byt LINUX, ale to je jedno. Prave jsem myslel, ze to je nastavene dobre, ale mylil jsem se :-(

Have you tried turning it off and on again? | tomaskavalek.cz | Google

17.6.2009 21:53 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Postfix a open smtp relay

Máte to nastavené tak, že může poslat kdokoliv z localhostu, kdokoliv přihlášený přes SASL a nebo pak samozřejmě e-maily pro domény, pro které je Postfix příjemce.

17.6.2009 22:11 Toman | skóre: 29 | blog: Tomanův blog | Kostelec nad Orlicí
Rozbalit Rozbalit vše Re: Postfix a open smtp relay

Prave ze jsem si, navic k jiz existujícímu účtu z domény, vytvořil nesmyslný ucet, karel@xyz.cz a SMTP nastavil na tento server, a mail se normalne odeslal. To nechapu :-(

Have you tried turning it off and on again? | tomaskavalek.cz | Google

17.6.2009 22:14 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Postfix a open smtp relay

Tj. přihlásil jste se neexistujícím účtem a podařilo se vám poslat e-mail do domény, kterou neobhospodařuje tento server? Nebo jste se ani nepřihlašoval? Pokud se podařilo přihlásit neexistujícím jménem a heslem, hledal bych problém spíše v tom přihlašování…

17.6.2009 22:21 Toman | skóre: 29 | blog: Tomanův blog | Kostelec nad Orlicí
Rozbalit Rozbalit vše Re: Postfix a open smtp relay

Vytvořil jsem ten ucet, toho karla, viz výše, a odeslal jsem to do domény, kterou server obhospodaruje server. Prave nevim, kde bych mel hledat chybu v přihlašování :-(

Have you tried turning it off and on again? | tomaskavalek.cz | Google

18.6.2009 00:55 cynic_asshole | skóre: 28
Rozbalit Rozbalit vše Re: Postfix a open smtp relay

Ještě jednou. Vytvořils účet karel@xyz.cz. A co bylo dál? Nezlob se, ale píšeš trochu zmatečně.

Neznáš nějakou linuxovou distribuci pro Windows?

18.6.2009 08:54 Toman | skóre: 29 | blog: Tomanův blog | Kostelec nad Orlicí
Rozbalit Rozbalit vše Re: Postfix a open smtp relay

Pardon, tou dobou jsem psal z mobilu, což nebylo vážně ideální. Vytvořil jsem si testovací účet v klientovi, test@server.cz, kde server.cz je tedy tento inkriminovaný server. POP a SMTP jsem nastavil na tento server. Zadal přihlašovací údaje, odklikl info o certifikátu, stáhl poštu, i odeslal. Poté jsem si založil nesmyslný účet karel@xyz.cz, zadal nesmyslný POP xyz.cz, ale SMTP na server, o kterém se bavíme, server.cz. A pokusil se odeslat mail na test@server.cz, abych hned viděl, zda-li se to odeslalo, resp. přišel mail. A on příšel.

Have you tried turning it off and on again? | tomaskavalek.cz | Google

18.6.2009 08:56 Toman | skóre: 29 | blog: Tomanův blog | Kostelec nad Orlicí
Rozbalit Rozbalit vše Re: Postfix a open smtp relay

Ale testem http://www.spamhelp.org/shopenrelay/shopenrelaytest.php to neprošlo, takže snad vše OK.

Have you tried turning it off and on again? | tomaskavalek.cz | Google

18.6.2009 10:20 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Postfix a open smtp relay

Váš server tedy má přijímat poštu pro doménu server.cz? Pak je ale správně, že ten e-mail na doménu server.cz přijal…

18.6.2009 10:32 cynic_asshole | skóre: 28
Rozbalit Rozbalit vše Re: Postfix a open smtp relay

Ale potom je všechno v nejlepším pořádku. Ten SMTP bude přijímat mejly pro doménu server.cz, ať už přijdou odkudkoliv. Jen odesílat mejly na jiné domény než na server.cz půjde pouze ze serveru.

Neznáš nějakou linuxovou distribuci pro Windows?

18.6.2009 10:32 cynic_asshole | skóre: 28
Rozbalit Rozbalit vše Re: Postfix a open smtp relay

Ale potom je všechno v nejlepším pořádku. Ten SMTP bude přijímat mejly pro doménu server.cz, ať už přijdou odkudkoliv a od kohokoliv. Jen odesílat mejly na jiné domény než na server.cz půjde pouze ze serveru.

Neznáš nějakou linuxovou distribuci pro Windows?

18.6.2009 11:18 Toman | skóre: 29 | blog: Tomanův blog | Kostelec nad Orlicí
Rozbalit Rozbalit vše Re: Postfix a open smtp relay

Aha, takže kdokoliv zvenku může využít tento SMTP server pro poslání e-mailu do domény, kterou obsluhuje server, dále pak může tento server využít každý, kdo má účet na serveru, nebo každý, kdo server podstrčí, že odesílatel je nekdo@domena.cz? A pak tedy všichni, kdo jsou lokálně na serveru.

Have you tried turning it off and on again? | tomaskavalek.cz | Google

18.6.2009 11:55 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Postfix a open smtp relay

kdokoliv zvenku může využít tento SMTP server pro poslání e-mailu do domény, kterou obsluhuje server

Ano, to je základní funkce serveru přijímajícího poštu. Kdyby server veškerou poštu odmítal, nepůjde samozřejmě žádný e-mail do příslušné domény poslat.

každý, kdo má účet na serveru

Záleží na nastavení mynetworks a autentizace. Ale pokud myslíte účet pro přístup k SMTP (tedy účet v SASL), pak ano.

každý, kdo server podstrčí, že odesílatel je nekdo@domena.cz

Ne. Co je uvedeno v e-mailu nebo v obálce u odesílatele server nezajímá, protože si tam každý může napsat, co chce.

A pak tedy všichni, kdo jsou lokálně na serveru

Pokud je to povoleno v mynetworks.

Asi by bylo dobré napsat, o co se vlastně snažíte. Váš údiv nad tím, že server nakonfigurovaný pro příjem pošty pro example.com přijímá poštu pro example.com mne překvapuje a předpokládám, že máte trochu zmatek v tom, co vlastně chcete udělat.

18.6.2009 12:11 Toman | skóre: 29 | blog: Tomanův blog | Kostelec nad Orlicí
Rozbalit Rozbalit vše Re: Postfix a open smtp relay

Asi by bylo dobré napsat, o co se vlastně snažíte. Váš údiv nad tím, že server nakonfigurovaný pro příjem pošty pro example.com přijímá poštu pro example.com mne překvapuje a předpokládám, že máte trochu zmatek v tom, co vlastně chcete udělat

Chci, aby server, konkrétně SMTP, mohli využívat pouze uživatelé, kteří mají na serveru mailbox, a pak všechny aplikace na serveru běžící, zejména pro PHP skripty apod. Tedy nechci, aby mohl SMTP server využívat kdokoliv zvenku, aby to nebyl veřejný SMTP.

Have you tried turning it off and on again? | tomaskavalek.cz | Google

18.6.2009 12:42 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Postfix a open smtp relay

A co znamená "využívat"? Pouze jako relay pro odesílání e-mailů? Pak nastavte prázdné mydestination, virtual_alias_domains, virtual_alias_maps, tím pádem Postfix nebude přijímat e-mail pro žádnou doménu a bude fungovat pouze jako relay pro definované počítače, sítě, a uživatele.

18.6.2009 19:10 Opičák | skóre: 18 | blog: Opicakovy_blaboly
Rozbalit Rozbalit vše Re: Postfix a open smtp relay

Hele principem každého SMTP serveru je "vyměňovat si poštu s ostatními servery" POKUD POŠTA PATŘÍ DO DOMÉNY, KTEROU OBSLUHUJE.

Takže logicky bude od ostatních SMTP serverů přijímat poštu pro svou doménu.

Klient (outlook, thunderbird ...a jiné) se ale na tento server může připojit a odeslat si přes něj poštu někomu jinému (nebo i na tu samou doménu), jen

POKUD JE POVOLEN V SEZNAMU ROZSAHŮ/ADRES (nebo mynetworks nebo jsou autentizování např. přes SASL).

Takže pokud jsi vytvrořil doménu a účet, který smí přistupovat k tomuto serveru, tak jsi si přes něj logicky mohl poslat poštu. Naopak nikdo cizí z venku by neměl mít přístup.

Pokud výše zmiňovaný relaytest proběhl neúspěšně, tak je něco špatně....mě to ale připadá vcelku gut.

18.6.2009 22:23 Toman | skóre: 29 | blog: Tomanův blog | Kostelec nad Orlicí
Rozbalit Rozbalit vše Re: Postfix a open smtp relay

Proběhl úspěšně, napsalo to, že není relay.

Have you tried turning it off and on again? | tomaskavalek.cz | Google

20.6.2009 13:15 Opičák | skóre: 18 | blog: Opicakovy_blaboly
Rozbalit Rozbalit vše Re: Postfix a open smtp relay

no tak v tom případě máš konfiguraci nejspíš dobře a jen jsi si popletl pojmy s dojmy. Přeju hodně štěstí a nervů s dalším provozem :))

17.6.2009 23:11 the.max | skóre: 46 | blog: Smetiště
Rozbalit Rozbalit vše Re: Postfix a open smtp relay

ja tam mam toto:

smtpd_recipient_restrictions =
      # our networks are welcomed
    permit_mynetworks,
      # SASL clients (SMTP auth) are ok too
    permit_sasl_authenticated,
      # postgrey is called here
    check_policy_service inet:127.0.0.1:10030,
      # ------------
      # -- Others --
      ##------------
      # 3 quick checks on senders/recipients
    reject_unknown_sender_domain,
    reject_non_fqdn_sender,
    reject_non_fqdn_recipient,
      # helo/ehlo syntax check
##    reject_invalid_hostname,
      # Seen false positives, but really efficient on UCE
      # forbid name helos and enforces fqdn helos
#       reject_non_fqdn_hostname,
      # at this stage we must be the destination
    reject_unauth_destination,
      # RCPT TO not in our maps (reject early instead of bouncing messages)
    reject_unlisted_recipient,
      # RBL checks
    reject_rbl_client sbl-xbl.spamhaus.org,
    reject_rbl_client list.dsbl.org

KERNEL ULTRAS Fan Team || Sabaton - nejlepší učitel dějepisu || Gentoo - dokud nás systemd nerozdělí.

Založit nové vlákno • Nahoru

Tiskni Sdílej: