Abwehr von SPAM-E-Mails in der Sense

Started by cklahn, June 11, 2025, 06:43:10 PM

Previous topic - Next topic
Print
Go Down Pages 1 2
User actions
June 15, 2025, 09:23:28 PM #15
Quote from: meyergru on June 15, 2025, 08:38:16 PMWenn man es auch als Outbound SMTP Relay nutzen will, muss man ggf. noch ein bisschen händisch was tun für Authentication.
Muss? Nein. Läuft bei mir ootb auf Port 26. Vielleicht sollte ich das aber ändern?
June 15, 2025, 09:55:40 PM #16
Bei PMG ist der Versand eigentlich nicht vorgesehen, denn es ist eher ein eingehendes Gateway. Wenn man PMG also auch für ausgehende E-Mail verwenden möchte, sollte man von seiner Einwahl-Site (Downstream Postfix) aus ja irgendeine Authentifizierung machen, um zu verhindern, dass jedermann darüber versenden kann und es keine andere Möglichkeit für die Zugangskontrolle gibt (z.B. Firewall-Regel mit fester IP).

Ich habe also das Template /etc/pmg/templates/master.cf.in so angepasst:

Code Select
# UMG
[% pmg.mail.int_port %]       inet  n -       -       -       [% pmg.mail.max_smtpd_out %]
      smtpd
[% IF pmg.mail.before_queue_filtering -%]
  -o smtpd_proxy_filter=127.0.0.1:10023
  -o smtpd_proxy_options=speed_adjust
  -o smtpd_client_connection_count_limit=[% pmg.mail.conn_count_limit div 5 %]
[%- ELSE -%]
  -o content_filter=scan:127.0.0.1:10023
[%- END %]
  -o { smtpd_recipient_restrictions=permit_mynetworks,check_sasl_access texthash:/etc/post
fix/sasl_access,permit_sasl_authenticated,reject_unauth_destination }
  -o smtpd_helo_restrictions=
  -o smtpd_client_restrictions=
  -o smtpd_sender_restrictions=
  -o smtpd_data_restrictions=
  -o smtpd_forbid_bare_newline=no
  -o smtpd_sasl_auth_enable=yes
  -o broken_sasl_auth_clients=yes
  -o smtpd_sasl_security_options=noanonymous
  -o smtpd_tls_auth_only=yes

Entsprechend können die Downstream-Server per SASL authentifiziert werden.
Intel N100, 4* I226-V, 2* 82559, 16 GByte, 500 GByte NVME, ZTE F6005

1100 down / 800 up, Bufferbloat A+
June 16, 2025, 10:31:29 AM #17 Last Edit: June 16, 2025, 10:33:19 AM by Bob.Dig
Quote from: meyergru on June 15, 2025, 09:55:40 PMBei PMG ist der Versand eigentlich nicht vorgesehen
Da kann ich nicht mitgehen. Er ist vorgesehen, sogar out of the box, auf Port 26.  Gleichwohl ist es natürlich klüger, das abzusichern. Hab das jetzt mal auf IP-Ebene gemacht, mit so einer ominösen, ausgehenden Floating Rule auf dem PMG-Interface, welche bis auf meine Ausnahmen alles auf Port 26 rejected. Also trotzdem Danke @meyergru. Deine Lösung war mir zu professionell, da nur ein Homeuser.
June 16, 2025, 11:28:46 AM #18
Quote from: Patrick M. Hausen on June 15, 2025, 07:41:29 PM
Quote from: chrs on June 15, 2025, 07:11:44 PMWie funktioniert das denn auf dem Gateway, woher bekommt das die Empfänger Datenbank?

Es macht während des SMTP-Dialogs mit dem sendenden Server für jedes RCPT TO, bei dem die Domain mal prinzipiell in Ordnung ist, über eine zweiter Verbindung ein VRFY mit dem tatsächlichen Ziel-Server.

Alles vorgesehen im Protokoll.

Das funktioniert mit Exchange nicht, ich habe da vor einiger Zeit mal was für den Eigengebrauch gebastelt, das sich die Empfänger aus dem LDAP holt.

https://github.com/bimbar/os-ldap2postfix

Kann noch funktionieren, muss aber nicht.
Print
Go Up Pages 1 2
User actions