Fritzbox auf Whitelist in Postfix konfigurieren

  • Hallo zusammen,


    ich habe hier ein Problem mit der Konfiguration von postfix und ich hoffe es kann mir hier einer helfen.
    Ich möchte von meiner Fritzbox Mails für vorliegende Nachrichten auf dem Anrufbeantworter bekommen, als auch die monatlichen Reports. Nun habe ich mein Postfix sehr restriktiv konfiguriert um SPAM keine Chance zu geben durchzukommen. Die Einträge in der main.cf sehen folgendermaßen aus:


    In die datei /etc/postfix/access habe ich folgendes eingetragen:

    Code
    fritzbox OK
    .t-ipconnect.de OK


    Ausgeführt habe ich auch

    Code
    sudo postmap /etc/postfix/access


    Testweise habe ich auch schon die IP Adresse des Routers eingetragen. Jedoch bleibt dass Problem, dass die Mails von der Frtizbox abgelehnt werden:

    Code
    Sep  3 23:36:13 v22013051671512864 postfix/smtpd[17114]: Anonymous TLS connection established from p5795caa6.dip0.t-ipconnect.de[87.149.202.166]: TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits)
    Sep  3 23:36:14 v22013051671512864 postfix/smtpd[17114]: NOQUEUE: reject: RCPT from p5795CAA6.dip0.t-ipconnect.de[87.149.202.166]: 450 4.7.1 <fritzbox>: Helo command rejected: Host not found; from=<x@b.com> to=<y@b.com> proto=ESMTP helo=<fritzbox>
    Sep  3 23:36:16 v22013051671512864 postfix/smtpd[17114]: disconnect from p5795CAA6.dip0.t-ipconnect.de[87.149.202.166]


    Ich habe zwar auch Postgrey installiert, allerdings dürfte das an der Stelle noch gar nicht greifen, weil bereits Postfix ablehnt. Sollte es nicht eigentlich so sein, dass Postfix alles was in der Whiltelist steht akzeptiert? Habe ich hier etwas falsch gemacht?


    Gruß
    Jester

  • Da deinem Server eine reverseabfrage fehlschlägt, lehnt er die mail ab.


    Das entfernen von reject_unknown_reverse_client_hostname
    reject_invalid_helo_hostname
    reject_invalid_hostname
    reject_non_fqdn_hostname
    und neustart von postfix sollte helfen.


    Dann ist ihm egal, wie sich die fritzbox vorstellt. Derzeit als fritzbox, was er nicht auflösen kann und fehlschlägt. Außerdem kannst du bei der telekom kein reversedns eintrag setzen, das kann er auch nicht prüfen, soll aber derzeit geschehen.

  • Hi Mainboarder,


    vielen Dank für die Antwort. Ich weiß warum das abgelehnt wird. Ich habe diese Einträge ja auch bewusst hinzugefügt, damit ich von den SPAM Servern nichts mehr bekomme. Die Frage ist ja warum die Whitelist nicht funktioniert.


    Gruß
    Jester

  • Hatte ich auch schon probiert. Ändert aber nichts. Es bleibt das gleiche Verhalten.


    Laut Doku sollte das aber eigentlich funktionieren:

    Zitat

    check_client_access type:table
    Search the specified access database for the client hostname, parent domains, client IP address, or networks obtained by stripping least significant octets. See the access(5) manual page for details.

  • Hier kannst du nachlesen warum das so nicht funktioniert und wie man es besser macht.


    Wenn du check_client_access hash:/etc/postfix/access unter smtpd_recipient_restrictions einträgst wird es wahrscheinlich funktionieren.
    Allerdings öffnest du somit in deiner aktuellen Konfiguration ein Relay für alle die sich als fritzbox melden oder von T-Online kommen.

    Neun von zehn stimmen in meinem Kopf sagen ich bin nicht verrückt, die zehnte summt die Melodie von Tetris.

  • Hallo zusammen,


    erst einmal vielen Dank für die vielen Hinweise.



    dann vielleicht eine Dyndns einrichten und per FritzBox aktualisieren lassen. Dann sollte eine saubere Whitelist gehen.


    Nein, das hat nichts mit Dyndns zu tun. Das habe ich so oder so eingerichtet.


    Also meine Fritzbox authentifiziert sich einfach mit Benutzername Passwort. Ziemlich unproblematisch.


    Ja, das macht meine auch. Allerdings haben ich Postfix so konfiguriert, dass er falsche HELOs nicht durchlässt und das macht die Fritzox und das ist mein Problem.



    Ich habe daheim drei Geräte welche ganz ohne externen SMTP verschicken. Habe einfach in allen exim4 Diensten meinen dyndns host als Hostname angegeben und fertig.


    Und genau das unterstützt Fritzbox Push Mail nicht.


    Auf die Lösung hat mich stachi gebracht.

    Hier kannst du nachlesen warum das so nicht funktioniert und wie man es besser macht.


    Vielen Dank dafür! Für alle die es interessiert. Mein Problem war folgendes.
    Ich habe zusätzlich konfiguriert

    Code
    smtpd_helo_required = yes
    smtpd_helo_restrictions = permit_mynetworks, reject_unknown_helo_hostname


    Ich habe herausgefunden, dass smtpd_helo_restrictions vor allem anderen greift. Das heißt so wie es es eigentlich in der Doku beschrieben ist mit

    Code
    1 /etc/postfix/main.cf:
    2     smtpd_recipient_restrictions = 
    3         permit_mynetworks
    4         check_helo_access hash:/etc/postfix/helo_access
    5         reject_unknown_helo_hostname
    6         reject_unauth_destination
    7 
    8 /etc/postfix/helo_access:
    9     localhost.localdomain PERMIT


    funktioniert es nicht. smtpd_helo_restrictions = reject_unknown_helo_hostname greift zuerst und sorgt dafür, dass alle falschen HELOs abgelehnt werden. Trotzdem hat mir dieses Beispiel einen Hinweis gegeben wie ich es machen kann. Denn wenn ich nun

    Code
    smtpd_helo_restrictions =
            permit_mynetworks
            check_helo_access hash:/etc/postfix/helo_access
            reject_unknown_helo_hostname
            reject_invalid_hostname


    und in /etc/postfix/helo_access

    Code
    fritzbox PERMIT


    konfiguriere, dann funktioniert es wie ich das gewollt habe. Alle anderen falschen HELOs werden abgelehnt und nur meine Fritzbox kommt durch. Das Risiko, dass irgendein SpamBot die HELO Kennung fritzbox verwendet nehme ich in kauf. Das ist aber sicherer, als wenn ich die Restriktion komplett wegnehmen würde.


    Wenn ich das dann richig verstehe brauche ich dann alle anderen Restriktionen in den smtp_*_restriction nicht mehr weil sie schon von der HELO restriction abgelehnt werden. Das werden ich dann aber noch mal testen. Jetzt bin ich erst mal froh, dass es funktioniert.


    Gruß
    Jester