[postfix-users] reject_unverified_recipient

Christopher Stolzenberg xchris89x at googlemail.com
Mo Jun 28 15:25:28 CEST 2010 

Am 28. Juni 2010 12:50 schrieb Gregor Hermens <gregor.hermens at a-mazing.de>:
> Hallo Chris,
>
> Am Montag, 28. Juni 2010 schrieb Christopher Stolzenberg:
>
>> folgendes ist dann aber seltsam bzw. ich verstehe es nicht...
>>
>> Wenn ich es so mache wie von dir erwähnt kriege ich immer ein relay
>> access denied wenn man im SMTP Dialog eine falsche Empfängeradresse
>> angibt.
>>
>> Das soll ja auch so sein weil ich kein offenes Relay bin.
>>
>> Aber das merkwürdige ist dieses hier: (Bug?)
>>
>> Mal angenommen ich bin für die Domains firma.de und firma.com
>> zuständig. Ein Spammer versucht z.B. zu testen ob er über meinen
>> Server relayen kann und macht als Absender xyz at example.com und als
>> Emfpänger xyz at googlemail.com.
>>
>> Sobald ich reject_unverified_recipient benutze baut Postfix zum
>> eingehenden Mailserver von googlemail.com eine Verbindung auf, stellt
>> fest die Mailadresse ist zustellbar und gibt dem potenziellen Spammer
>> trotzdem mit 7 Sekunden Verzögerung ein relay access denied.
>>
>> Genau das verstehe ich nicht. Warum baut er überhaupt unnötig die
>> Verbindung auf?
>>
>> Hat jemand von euch die Möglichkeit das mal selbst auszuprobieren?
>
> mit ziemlicher Sicherheit haben in deiner Konfiguration die einzelnen
> Prüfungen die falsche Reihenfolge. Für Mails an @googlemail.com ist dein
> Server schlicht nicht zuständig (außer der Client hat sich authentifiziert),
> also sollte Postfix das als erstes überprüfen...
>
> Zeig bitte mal deine vollständige Konfiguration (Ausgabe von postconf -n).
>
> Gruß,
> Gregor
> --
>     @mazing           fon +49 8142 6528665
>  Gregor Hermens       fax +49 8142 6528669
> Brucker Strasse 12  gregor.hermens at a-mazing.de
> D-82216 Gernlinden    http://www.a-mazing.de/
> _______________________________________________
> postfix-users mailing list
> postfix-users at de.postfix.org
> http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
>

Okay hier die smtpd_recipient_restrictions:

smtpd_recipient_restrictions =
        reject_unknown_recipient_domain,
        reject_unknown_sender_domain,
        reject_non_fqdn_recipient,
        reject_non_fqdn_sender,
        permit_mynetworks,
        permit_sasl_authenticated,
        reject_unverified_recipient,
#      check_recipient_access hash:/etc/postfix/verify_domains,
        reject_invalid_hostname,
        reject_non_fqdn_hostname,
        reject_unknown_reverse_client_hostname,
        reject_unauth_destination,
        reject_unauth_pipelining,
        reject_invalid_helo_hostname,
        reject_non_fqdn_helo_hostname,
        reject_rbl_client ix.dnsbl.manitu.net,
        reject_rbl_client zen.spamhaus.org

Chris

Mehr Informationen über die Mailingliste postfix-users