Greylisting für IMAP Clients deaktivieren

ThomasChr · 7. Juni 2016

Hallo Forum,

ich habe bei einem Server Postfix, Dovecot und Postgrey im Einsatz.
Greylisting funktioniert auch super - nur wenn ich jetzt über IMAP eine Mail sende bekomme ich selber natürlich auch plötzlich einen '4.2.0: Recipient address rejected: Greylisted'.
Ich könnte jetzt meinen Absender Whitelisten - aber wenn ich das richtig sehe geht es hier nur um die IP-Adresse des Computers.
Wenn ich also 15 computer habe die alle meine Mails von @example.com absenden müsste ich die alle whitelisten?

Wie löst man das? So außergewöhnlich ist doch die Anforderung nicht, denke ich.

Thomas

heavygale · 7. Juni 2016

Mit IMAP kann man keine Mails senden, du meinst bestimmt SMTP. Sendet du die Mail über Port 587 oder 25? Port 25 ist nur für die Kommunikation zwischen den Mailservern gedacht.

KB19 · 7. Juni 2016

Du sendest nicht über IMAP, sondern trotzdem über SMTP. Und bei einem angemeldeten User sollten all diese Restriktionen nicht greifen, falls doch, dann hast Du den Mailserver falsch konfiguriert.

Welche Software verwendest Du denn? Bei Postfix kann ich Dir weiterhelfen, wenn Du einmal Deine *_restrictions aus der main.cf herzeigst.

MfG Christian

ThomasChr · 7. Juni 2016

Natürlich, böser Fehler.
Senden tu ich über SMTP Port 25.
Aber das Greylisting bekomme ich auch wenn ich Postgrey manuell per Telnet anspreche.

Beispiel der Datei '/etc/postgrey/whitelist_clients':

Code

hello@world.com

Beispiel der Datei '/etc/postgrey/whitelist_recipients':

Code

gibts@net.de

Aufruf Postgrey mit:

Code

telnet 127.0.0.1 10023

Versuch zum White-gelisteten Empfänger zu senden:

Code

request=smtpd_access_policy
protocol_state=RCPT
protocol_name=ESMTP
client_address=127.0.0.1
client_name=dummy.de
helo_name=dummy.de
sender=me@dummy.de
recipient=gibts@net.de
queue_id=
instance=66cf.46d5964c.0
size=0
sasl_method=
sasl_username=
sasl_sender=
ccert_subject=
ccert_issuer=
ccert_fingerprint=

Alles anzeigen

Geht:

Code

action=DUNNO

Versuch vom White-gelisteten Absender zu senden:

Code

request=smtpd_access_policy
protocol_state=RCPT
protocol_name=ESMTP
client_address=127.0.0.1
client_name=dummy.de
helo_name=dummy.de
sender=hello@world.com
recipient=gibts2@net.de
queue_id=
instance=66cf.46d5964c.0
size=0
sasl_method=
sasl_username=
sasl_sender=
ccert_subject=
ccert_issuer=
ccert_fingerprint=

Alles anzeigen

Antwort:

Code

action=DEFER_IF_PERMIT Greylisted, see http://postgrey.schweikert.ch/help/net.de.html

Geht also nicht

ThomasChr · 7. Juni 2016

@killerbees:
Hier die 'main.cf'.
Ist eigentlich ziemlich standard:

Code

# See /usr/share/postfix/main.cf.dist for a commented, more complete version







# Debian specific:  Specifying a file name will cause the first
# line of that file to be used as the name.  The Debian default
# is /etc/mailname.
#myorigin = /etc/mailname




smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu)
biff = no




# appending .domain is the MUA's job.
append_dot_mydomain = no




# Uncomment the next line to generate "delayed mail" warnings
#delay_warning_time = 4h




readme_directory = no




# TLS parameters
smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
smtpd_use_tls=yes
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache




# See /usr/share/doc/postfix/TLS_README.gz in the postfix-doc package for
# information on enabling SSL in the smtp client.




smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination
myhostname = test.example.de
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = /etc/mailname
mydestination = $myhostname, example.de, test.example.de, localhost.localdomain, localhost
relayhost =
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all
inet_protocols = all
local_recipient_maps = hash:/etc/postfix/virtual
virtual_alias_maps = hash:/etc/postfix/virtual
home_mailbox = mails/
smtpd_sasl_auth_enable = yes
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
broken_sasl_auth_clients = yes
content_filter=smtp-amavis:[127.0.0.1]:10024
smtpd_recipient_restrictions = check_policy_service inet:127.0.0.1:10023

Alles anzeigen

ThomasChr · 7. Juni 2016

Ich denke ich habs.
Aus der Zeile:

Code

smtpd_recipient_restrictions = check_policy_service inet:127.0.0.1:10023

Muss werden

Code

smtpd_recipient_restrictions = permit_sasl_authenticated, check_policy_service inet:127.0.0.1:10023

Korrekt?
Scheint nämlich das gewünschte Ergebnis zu bringen!

Thomas

tldev · 7. Juni 2016

Benutz statt SMTP doch einfach Submission auf Port 587. Dann sparst du dir die Probleme und nutzt die Protokolle so wie sie genutzt werden sollten

KB19 · 8. Juni 2016

ThomasChr: Prinzipiell nicht falsch, aber ein eigener Port ist tatsächlich besser und einfacher zu verwalten. Das kann man über die master.cf sehr gut einstellen. Für den zusätzlichen Port kann man eigene *_restrictions angeben. In der Postfix-Dokumentation ist das sehr gut erklärt.

MfG Christian

ThomasChr · 8. Juni 2016

Hallo killerbees19 und tldev,

das mit dem Port 587 überleg ich mir - ja, ich weiß dass das mittlerweile Standard ist, aber ich bin immer sehr vorsichtig mit dem öffnen eines Ports nach drausen und dem erhöhen der Komplexität der Installation.
Ich wollte den Postfix so nahe wie möglich am Paketquellen Standard von Ubuntu 16.04 lassen, und da ist Port 587 noch nicht vorgesehen.

Eventuell mach ich das mal, vielen dank für den Tipp!

Thomas

KB19 · 8. Juni 2016

Das geniale an eigenen Ports (hier smtps anstatt submission) ist ja, dass man eigene Variablen nutzen kann:

Code

smtps     inet  n       -       -       -       -       smtpd
  -o syslog_name=postfix/smtps
  -o smtpd_tls_wrappermode=yes
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_reject_unlisted_recipient=no
  -o smtpd_client_restrictions=$mua_client_restrictions
  -o smtpd_helo_restrictions=$mua_helo_restrictions
  -o smtpd_sender_restrictions=$mua_sender_restrictions
  -o smtpd_recipient_restrictions=$mua_recipient_restrictions
  -o smtpd_relay_restrictions=permit_sasl_authenticated,reject
  -o smtpd_data_restrictions=$mua_data_restrictions
  -o milter_macro_daemon_name=ORIGINATING
  -o smtpd_helo_required=$mua_helo_required
  -o smtpd_delay_reject=$mua_delay_reject
  -o smtpd_milters=$mua_milters
  -o cleanup_service_name=cleanup_mua

Alles anzeigen

In der main.cf kann man dann je Option übersichtlich festlegen, was man je Port haben möchte:

Code

# Milter für den SMTP-Port: OpenDKIM Überprüfung, OpenDMARC Überprüfung, ClamAV Scan und rmilter (inkl. rspamd).
smtpd_milters = inet:localhost:60777, inet:localhost:60888, $clamav_milter, inet:localhost:60111




# Milter für die SMTPS/Submission Ports: ClamAV Scan und OpenDKIM Signierung.
mua_milters = $clamav_milter, inet:localhost:60777




# Milter für lokale Submission (Mailman) Einlieferung: ClamAV Scan.
local_milters = $clamav_milter




# Milter für lokale Einlieferung: ClamAV Scan und rmilter (inkl. rspamd).
non_smtpd_milters = $clamav_milter, inet:localhost:60111

Alles anzeigen

Das gilt natürlich auch für alle *_restrictions.

MfG Christian