Re: Exim - smtp (25/tcp) und submission (587/tcp) aktivieren und trennen

To: debian-user-german@lists.debian.org
Subject: Re: Exim - smtp (25/tcp) und submission (587/tcp) aktivieren und trennen
From: Heiko Schlittermann <hs@schlittermann.de>
Date: Mon, 24 Mar 2014 20:55:18 +0100
Message-id: <[🔎] 20140324195518.GS8290@jumper.schlittermann.de>
Mail-followup-to: debian-user-german@lists.debian.org
In-reply-to: <[🔎] 8761n47hzd.fsf@mid.deneb.enyo.de>
References: <[🔎] n1i20b-m0o.ln1@news.muster.net> <[🔎] 8761n47hzd.fsf@mid.deneb.enyo.de>

Hallo,

Florian Weimer <fw@deneb.enyo.de> (So 23 Mär 2014 21:55:18 CET):
> * Paul Muster:
> 
> > 2a) (auf dem submission-Port nur authentisierte Einlieferungen erlauben)
> >
> > MAIN_ACL_CHECK_RCPT = ${if ={25}{$interface_port} \
> >                      {acl_check_rcpt} {acl_check_rcpt_submit} }
> >
> > /etc/exim4/conf.d/acl/30_exim4-config_check_rcpt_submit erstellen,
> > Inhalt ungefähr:
> >
> > acl_check_rcpt_submit:
> >
> >   accept
> >     hosts = :
> >     control = dkim_disable_verify
…
> >   deny
> >     !authenticated = *
> >     message = All port 587 connections must be Authenticated

Das sollte m.E. eigentlich schon in einer acl_smtp_mail behandelt
werden, also beim „MAIL FROM:“.

> >   accept
> >     authenticated = *
> >     control = submission/sender_retain
> >     control = dkim_disable_verify
> 
> Hmm. Die Frage ist, ob man auch noch sinnvoll erzwingen kann, daß die
> absenderadresse korrekt ist.
> 
> > Was meinen die Sachverständigen zu dem Thema?

Ich halte mich mal für sachverständig :)

Was ist eine korrekte Absender-Adresse? Wenn die Frage beantwortet ist,
kann man auch den entsprechenden Check bauen.

    - soll die Absender-Adresse ggf. korrigiert werden?
        . authenticated_id = …
        . control = submission/domain=…

    - aktzeptiert die Absender-Adresse ggf. Bounces?
        . verify = sender/callout

    - gehört die Absender-Adresse zum sich anmeldenden Account?
        . …

    - existiert ein MX für die Absender-Adresse
        . verify = sender


Es sind also eine Reihe von Möglichkeiten.

Die Prüfung des Absenders ist natürlich prinzipiell eine gute Idee, denn
andere Probleme sollten bei Submission nicht zur Ablehnung führen, weil
das in den meisten Clients nicht schön aussieht und der Fehlerfindung
selten zuträglich ist. Das bedingt aber, daß Du weißt, wem Du die Bounce
zustellen kannst. Viele werden ein festes Mapping zwischen AUTH-User und
zustellfähiger Bounce-Adresse haben. Aber genau für dieses Mapping gibt
es unzählige Freiheitsgrade.

    Best regards from Dresden/Germany
    Viele Grüße aus Dresden
    Heiko Schlittermann
-- 
 SCHLITTERMANN.de ---------------------------- internet & unix support -
 Heiko Schlittermann, Dipl.-Ing. (TU) - {fon,fax}: +49.351.802998{1,3} -
 gnupg encrypted messages are welcome --------------- key ID: 7CBF764A -
 gnupg fingerprint: 9288 F17D BBF9 9625 5ABC  285C 26A9 687E 7CBF 764A -
(gnupg fingerprint: 3061 CFBF 2D88 F034 E8D2  7E92 EE4E AC98 48D0 359B)-

Attachment: signature.asc
Description: Digital signature

Reply to:

References:
- Exim - smtp (25/tcp) und submission (587/tcp) aktivieren und trennen
  - From: Paul Muster <exp-311214@news.muster.net>
- Re: Exim - smtp (25/tcp) und submission (587/tcp) aktivieren und trennen
  - From: Florian Weimer <fw@deneb.enyo.de>

Prev by Date: Re: Zugriff auf den Rechner von außen
Next by Date: Re: Exim - smtp (25/tcp) und submission (587/tcp) aktivieren und trennen
Previous by thread: Re: Exim - smtp (25/tcp) und submission (587/tcp) aktivieren und trennen
Next by thread: Verzeichnis auf webdav sichern
Index(es):
- Date
- Thread