[Postfix] Alleen mail laten versturen vanaf ons domein? - Linux en overige clients

zaterdag 19 januari 2008 13:30

Acties:

weet veel, maar niet alles

Topicstarter

Ik heb al jaar en dag Postfix hier draaien, en dat werkt prima. Ik ben nu echter de boel een beetje aan het tweaken. Wat wij onder andere willen is dat gebruikers voortaan alleen mail via ons mail-server (naar buiten) kunnen versturen als het From-address (de "sender") ons domein matcht. Dus zodat men bv. als From-address GEEN @gmail.com kunnen gebruiken maar alleen hun eigen email-adres wat bij ons domein hoort. Ik heb al geprobeerd dit aan de praat te krijgen door simpelweg "permit_mynetworks" uit mijn restrictions te gooien, maar dit werkt niet. Weet iemand hoe je dit wel voor elkaar krijgt?

Ctrl4Dkn: ESP32 (Floor) Heat Controller With Daikin (Heatpump) Support - https://github.com/arnova/ctrl4dkn

zaterdag 19 januari 2008 13:44

Acties:

frapex

got r00t

smtpd_sender_restrictions = reject_unknown_sender_domain
http://www.postfix.org/SMTPD_ACCESS_README.html

Daar zul je het moeten zoeken.

Asus A7N8X-X, AMD XP2400+, 2.5GB Infineon+Samsung DDR333, Radeon x1600 Pro, 2x Fujitsu MAP3735NC 10Krpm SCSI 73GB, Seagate Medalist 17.2GB, LiteOn DVD 16x48x, LiteOn 48x12x48, Promise UDMA100/TX2, Adaptec 2110S Ultra3, 2x EIZO FlexScan (F931 & F930)

zaterdag 19 januari 2008 21:37

Acties:

arnova

weet veel, maar niet alles

Topicstarter

frapex schreef op zaterdag 19 januari 2008 @ 13:44:
smtpd_sender_restrictions = reject_unknown_sender_domain
http://www.postfix.org/SMTPD_ACCESS_README.html

Daar zul je het moeten zoeken.

Die optie gebruik ik al. Maar ik het lijkt mij toch dat hetgeen wat ik wil ook echt mogelijk moet zijn met Postfix......?

Ctrl4Dkn: ESP32 (Floor) Heat Controller With Daikin (Heatpump) Support - https://github.com/arnova/ctrl4dkn

zaterdag 19 januari 2008 21:49

Acties:

Snake

Los Angeles, CA, USA

arnova schreef op zaterdag 19 januari 2008 @ 21:37:
[...]

Die optie gebruik ik al. Maar ik het lijkt mij toch dat hetgeen wat ik wil ook echt mogelijk moet zijn met Postfix......?

Frapex z'n optie is toch met Postfix?

Going for adventure, lots of sun and a convertible! | GMT-8

woensdag 23 januari 2008 18:53

Acties:

arnova

weet veel, maar niet alles

Topicstarter

Snake schreef op zaterdag 19 januari 2008 @ 21:49:
[...]

Frapex z'n optie is toch met Postfix?

Ja, dat snap ik. Ik zie nu ook dat mijn zin op meerdere manieren te interpreteren is. Wat ik bedoel te zeggen is dat Frapex zijn optie zo ie zo al gebruikt wordt en werd door mij, maar dat ik daarmee nog niet kan zorgen dat mensen als "From"-email adres onze domein-naam MOETEN gebruiken. Dus daarom mijn vraag nogmaal: hetgeen wat ik wil moet toch te realiseren zijn?

ps. Tijdje van huis geweest daarom niet eerder een reactie van mijn zijde.

Ctrl4Dkn: ESP32 (Floor) Heat Controller With Daikin (Heatpump) Support - https://github.com/arnova/ctrl4dkn

woensdag 23 januari 2008 23:36

Acties:

Verwijderd

Je moet in de gaten houden dat je twee soorten afzenders hebt: de "envelope from" (die in het SMTP-protocol gebruikt wordt) en de "message from". Je kunt ze vergelijken met de afzender die bij traditionele post op de achterkant van een envelop genoemd wordt en met de afzender in het briefhoofd.

Postfix zal (net als de TPG met post) in principe niet je mail openmaken om de message headers te bekijken, tenzij je daar expliciet om vraagt. Over het algemeen geldt echter: de MTA houdt zich puur met de envelope bezig, niet met de inhoud.

donderdag 24 januari 2008 09:08

Acties:

smesjz

frapex schreef op zaterdag 19 januari 2008 @ 13:44:
smtpd_sender_restrictions = reject_unknown_sender_domain
http://www.postfix.org/SMTPD_ACCESS_README.html

Daar zul je het moeten zoeken.

Je hebt werkelijk geen idee waar je het over hebt. Deze optie blokt namelijk dit:

mail from: <joe@bestaatniet.123>

Als het domein van de afzender niet gevonden kan worden in de DNS server wordt de mail geweigerd.

Wat je wel nodig hebt is reject_unlisted_sender

Hiermee blokkeer je mail van addressen waar je zelf geen mail voor ontvangt, het mail from equivalent voor reject_unlisted_recipient.

Andere optie:

check_sender_access /etc/postfix/valid_domains, reject

En /etc/postfix/valid_domains bevat:
jouwdomein.nl ACCEPT

De reject daarna weigert vervolgens alle mail die niet expliciet is toegestaan bij valid_domains

vrijdag 25 januari 2008 18:29

Acties:

arnova

weet veel, maar niet alles

Topicstarter

Tnx! Dat is precies wat ik bedoelde. Ik kan het helaas momenteel niet testen want ik ben een paar dagen vrij. Wat ik mij nog wel afvroeg is of forwarding van mail via bv. .forward, .procmailrc of /etc/aliases nog wel blijft werken met deze optie(s) aan. Zo nee, is daar een workaround voor of wordt dat lastig?

smesjz schreef op donderdag 24 januari 2008 @ 09:08:
[...]

Je hebt werkelijk geen idee waar je het over hebt. Deze optie blokt namelijk dit:

mail from: <joe@bestaatniet.123>

Als het domein van de afzender niet gevonden kan worden in de DNS server wordt de mail geweigerd.

Wat je wel nodig hebt is reject_unlisted_sender

Hiermee blokkeer je mail van addressen waar je zelf geen mail voor ontvangt, het mail from equivalent voor reject_unlisted_recipient.

Andere optie:

check_sender_access /etc/postfix/valid_domains, reject

En /etc/postfix/valid_domains bevat:
jouwdomein.nl ACCEPT

De reject daarna weigert vervolgens alle mail die niet expliciet is toegestaan bij valid_domains

Ctrl4Dkn: ESP32 (Floor) Heat Controller With Daikin (Heatpump) Support - https://github.com/arnova/ctrl4dkn

vrijdag 25 januari 2008 20:44

Acties:

smesjz

arnova schreef op vrijdag 25 januari 2008 @ 18:29:
Tnx! Dat is precies wat ik bedoelde. Ik kan het helaas momenteel niet testen want ik ben een paar dagen vrij. Wat ik mij nog wel afvroeg is of forwarding van mail via bv. .forward, .procmailrc of /etc/aliases nog wel blijft werken met deze optie(s) aan. Zo nee, is daar een workaround voor of wordt dat lastig?

Dat los je op door iets te gebruiken als:

smtpd_sender_restrictions = permit_mynetworks, check_sender_access blabla, reject

Die mail die weer terug komt (door .forward/.procmailrc) sta je weer toe door permit_mynetworks te gebruiken en daarna die check_sender_access toe te passen. Zo voorkom je dat je slachtoffer wordt van je eigen filter

maandag 4 februari 2008 14:39

Acties:

arnova

weet veel, maar niet alles

Topicstarter

Bedankt luitjes. Werkt als een speer hier. Ik heb echter nog 1 klein vraagje, waar ik niet uit kom en dat is hoe kan ik de REJECT-message customizen? Ik heb hier naar zitten zoeken, maar kan hier niks voor vinden. Ik bedoel dus iets in de trand van:

/etc/postfix/valid_domains

code:

1 2	jouwdomein.nl ACCEPT * REJECT Mail address spoofing is not allowed here

Die wildcard werkt dus helaas niet, maar is hier iets anders op te verzinnen?

Ctrl4Dkn: ESP32 (Floor) Heat Controller With Daikin (Heatpump) Support - https://github.com/arnova/ctrl4dkn

maandag 4 februari 2008 15:09

Acties:

smesjz

arnova schreef op maandag 04 februari 2008 @ 14:39:
Bedankt luitjes. Werkt als een speer hier. Ik heb echter nog 1 klein vraagje, waar ik niet uit kom en dat is hoe kan ik de REJECT-message customizen? Ik heb hier naar zitten zoeken, maar kan hier niks voor vinden. Ik bedoel dus iets in de trand van:

/etc/postfix/valid_domains
code:
1
2
jouwdomein.nl ACCEPT
*                     REJECT Mail address spoofing is not allowed here
Die wildcard werkt dus helaas niet, maar is hier iets anders op te verzinnen?

Je kan eens naar regex_table kijken en daar de negative match gebruiken (!).

Maar een standaard manier heb je hier niet om de REJECT tekst aan te passen. Ik heb de moeite niet eens genomen om de tekst aan te passen. Als iemand onterecht geweigerd denkt te zijn, dan weet ie mij toch wel te vinden.

Hoewel spam weiger je nu trouwens? pflogsumm weet altijd wel leuke stats te produceren zodat je snel kan zien welke checks efficient zijn en welke niet.

maandag 4 februari 2008 15:24

Acties:

arnova

weet veel, maar niet alles

Topicstarter

smesjz schreef op maandag 04 februari 2008 @ 15:09:
[...]

Je kan eens naar regex_table kijken en daar de negative match gebruiken (!).

Maar een standaard manier heb je hier niet om de REJECT tekst aan te passen. Ik heb de moeite niet eens genomen om de tekst aan te passen. Als iemand onterecht geweigerd denkt te zijn, dan weet ie mij toch wel te vinden.

Hoewel spam weiger je nu trouwens? pflogsumm weet altijd wel leuke stats te produceren zodat je snel kan zien welke checks efficient zijn en welke niet.

Inmiddels al een "mooie" oplossing gevonden:

main.cf:

code:

...
has_our_domain_as_sender =
  check_sender_access hash:/etc/postfix/maps/our_domain_as_sender,
  check_client_access regexp:/etc/postfix/maps/text_domain_sender_mismatch,
  reject 
...

en dan in je /etc/postfix/maps/text_domain_sender_mismatch:

[code]
/./ 554 Mail address spoofing is not allowed here
[..code]

In dit werkt top!

Dat "pflogsumm" ken ik overigens niet, maar daar ga ik zeker even naar kijken. Hoeveel ik momenteel reject, weet ik niet, maar ik weet wel dat ik de spam op dat adres iig goed zat aan het worden was.

Ctrl4Dkn: ESP32 (Floor) Heat Controller With Daikin (Heatpump) Support - https://github.com/arnova/ctrl4dkn