[Linux-sunucu] Re: Postfix Kimlik Doğrulamasız Mail Gönderimi

[Mesut Güler]

Merhaba,

Potfix veya başka MTAlar varsayılanda böyle davranır anlamında söylemek 
istemedim.
Varsayılan derken kasdettiğim submission hizmetinin varsayılan davranış 
şekli idi. Çünkü submission sadece istemcilerin MTA sunucuya bağlanması 
için kullanılıyor. doğal olarak submission, smtp-auth yapılmadıkça hiç 
bir maili kabul etmemeli.

Sorunun çözülmüş olmasına sevindim.


29-12-2016 22:09 tarihinde Kamer Yıldız yazdı:
Tekrar merhabalar Mesut Bey…

master.cf aşşağıdaki gibiydi… Siz söyledikten sonra *# -o 
smtpd_recipient_restrictions=permit_sasl_authenticated,reject*   
kısmındaki *#* işaretini kaldırınca oldu. Çok teşekkür ederim 
ilginize… Yalnız  "varsayılanda zaten bloklaması lazım"  demişsiniz 
fakat maalesef değildi… Bu arada 25 port connection refused veriyor… 
Tekrardan çok teşekkür ediyorum...


#
# Postfix master process configuration file.  For details on the format
# of the file, see the master(5) manual page (command: "man 5 master").
#
# Do not forget to execute "postfix reload" after editing this file.
#
# 
==========================================================================
# service type  private unpriv  chroot  wakeup  maxproc command + args
#               (yes)   (yes)   (yes)   (never) (100)
# 
==========================================================================
smtp inet  n-n--smtpd
#smtpinet  n-n-1postscreen
#smtpd     pass  --n--smtpd
#dnsblog   unix  --n-0dnsblog
#tlsproxy  unix  --n-0tlsproxy
submission inet n-n--smtpd
#  -o syslog_name=postfix/submission
#  -o smtpd_tls_security_level=encrypt
#  -o smtpd_sasl_auth_enable=yes
#  -o smtpd_reject_unlisted_recipient=no
#  -o smtpd_client_restrictions=$mua_client_restrictions
#  -o smtpd_helo_restrictions=$mua_helo_restrictions
#  -o smtpd_sender_restrictions=$mua_sender_restrictions
#  -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject
#  -o milter_macro_daemon_name=ORIGINATING



On 29 Dec 2016, at 21:35, Mesut Güler <me...@egemenyazilim.com 
<mailto:me...@egemenyazilim.com>> wrote:

Merhabalar,


varsayılanda submission portu zaten kimlik doğrulama yapmadan mail 
göndermeye izin vermemeli. kendisine bile gelse maili 587den kabul 
etmemeli.

/etc/postfix/master.cf de submission için tanımlama ne şekilde.

ek olarak bu durumu 25 ve 587 portları için ayrı ayrı kontrol eder 
misiniz.


saygılar


29-12-2016 20:32 tarihinde Kamer Yıldız yazdı:
Cevaplarınız için çok teşekkürler… Ömer bey öneriniz mantıklı, lakin 
20-25 domain ve yaklaşık 500 adet user olan sistemde bu çok makul 
değil gibi… Birde her açtığınız maili oraya da eklemek durumu var 
çok kullanışlı değil gibi. Birde Şöyle bir durum var… örnek olarak;

 benim domainim kmryldz.com <http://kmryldz.com/> diyelim ve 
account’um da k...@kmryldz.com <mailto:k...@kmryldz.com> olsun...

telnet kmryldz.com <http://kmryldz.com/> 587

ehlo kmryldz.com <http://kmryldz.com/>

mail from: k...@kmryldz.com <mailto:k...@kmryldz.com>
rcpt to: k...@kmryldz.com <mailto:k...@kmryldz.com>

data
deneme
.


Bu şekilde gerçekte var olan bir user ile aynı mail adresine 
ŞİFRESİZ bir şekilde mail alıyor… Ben istiyorum ki, benim mta 
serverimdeki userlar şifresiz bir şekilde mail atamasınlar…

NOT: relay göndermiyor. Yani hotmail, gmail, xmail vs vs... Yani 
yerel domainler dışında ki domainlere şifresiz mail gitmiyor… 
reject_unauth_destination ile bu engelli… aşşağıda restrictions’ları 
paylaşıyorum…


smtpd_helo_required = yes
smtpd_helo_restrictions = reject_unknown_helo_hostname
strict_rfc821_envelopes = no


smtpd_recipient_restrictions =
        check_policy_service inet:127.0.0.1:10031,
permit_sasl_authenticated,
reject_unauth_destination,
        check_policy_service inet:127.0.0.1:2501,
reject_sender_login_mismatch,
reject_invalid_hostname,
reject_unauth_pipelining,
reject_non_fqdn_hostname,
reject_non_fqdn_sender,
reject_unknown_sender_domain,
reject_non_fqdn_recipient,
reject_sender_login_mismatch,
reject_unknown_recipient_domain,
        check_recipient_access hash:/etc/postfix/access,
                reject_rbl_client zen.spamhaus.org 
<http://zen.spamhaus.org/>,
                reject_rbl_client bl.spamcop.net 
<http://bl.spamcop.net/>,
                reject_rbl_client zombie.dnsbl.sorbs.net 
<http://zombie.dnsbl.sorbs.net/>,
                reject_rbl_client sbl.spamhaus.org 
<http://sbl.spamhaus.org/>,
reject_rhsbl_reverse_client dbl.spamhaus.org <http://dbl.spamhaus.org/>,
                reject_rhsbl_helo dbl.spamhaus.org 
<http://dbl.spamhaus.org/>,
                reject_rhsbl_sender dbl.spamhaus.org 
<http://dbl.spamhaus.org/>,




On 29 Dec 2016, at 13:15, Mesut Güler <me...@egemenyazilim.com> wrote:

bende şu şekilde:

smtpd_recipient_restrictions = permit_mynetworks, 
permit_sasl_authenticated, reject_unauth_destination, 
check_recipient_access 
mysql:/etc/postfix/mysql-virtual_recipient.cf, 
*reject_unknown_recipient_domain*, check_policy_service 
unix:private/policy-spf, check_sender_access 
hash:/etc/postfix/sender_access, reject_rbl_client zen.spamhaus.org 
<http://zen.spamhaus.org/>


ayrıca spamları engelleme konusunda şu da işinize yarayacaktır:

smtpd_client_restrictions = permit_mynetworks, 
permit_sasl_authenticated, *reject_unknown_client_hostname*, 
check_client_access mysql:/etc/postfix/mysql-virtual_client.cf



burda işinize yarayacak açıklamalar var:
http://www.postfix.org/ADDRESS_VERIFICATION_README.html


saygılar

29-12-2016 00:55 tarihinde Omer Barlas yazdı:
smtpd_relay_restrictions'dan permit_mynetworks'ü kaldırın.

eğer böyle bir şey yoksa;

smtpd_relay_restrictions = permit_sasl_authenticated,
check_sender_mx_access hash:/etc/postfix/maps/mxAccess, reject

şeklinde bir kural ekleyin.

/etc/postfix/maps/mxAccess içerisine direkt gönderebileceklerin bir
listesini koyup postmap ile derleyebilirsiniz, formatı

omer.bar...@gmail.com  ok

şeklinde.

kolay gelsin.


29 Aralık 2016 00:16 tarihinde Kamer Yıldız<kameryil...@windowslive.com>  yazdı:
Öncelikle herkese merhabalar. Birkaç haftadır içinden çıkamadığım bir durumu 
bir de sizinle paylaşmak istedim. Centos 7 üzerinde cyrus-sasl ve cyrus-imapd 
ile birlikte postfix mta kullanıyorum. Sunucuma telnet ile bağlanıp bazı 
testler yaparken, sunucumda var olan bir kullanıcıya hiç var olmayan bir domain 
adı ve mail adresi ile şifresiz bir şekilde mail gönderebildiğimi fark ettim. 
Örnek verecek olursak;
olmayankullan...@domain.com  danolankullan...@mydomain.com  a mail 
gönderilebiliyor.

Relay kapalı. Yani başka bir domain e relay etmiyor, fakat yerel kullanıcılara 
gidiyor. Spamhaus dnsbl ile bu durumu engelledim, fakat istiyorum ki postfix 
sunucum kimlik doğrulaması olmadan mail almasın. Bunu nasıl sağlayabilirim. 
Verdiğiniz cevaplar için şimdiden teşekkürler...
_______________________________________________
Linux-sunucu E-Posta Listesi
Linux-sunucu@liste.linux.org.tr

Liste kurallarınıhttp://liste.linux.org.tr/kurallar.php   bağlantısından 
okuyabilirsiniz;

Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen 
e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 
dakika içinde üyeliğinizi sonlandırabilirsiniz.
https://liste.linux.org.tr/mailman/listinfo/linux-sunucu

_______________________________________________
Linux-sunucu E-Posta Listesi
Linux-sunucu@liste.linux.org.tr 
<mailto:Linux-sunucu@liste.linux.org.tr>

Liste kurallarını http://liste.linux.org.tr/kurallar.php 
 bağlantısından okuyabilirsiniz;

Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden 
gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini 
kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz.
https://liste.linux.org.tr/mailman/listinfo/linux-sunucu



_______________________________________________
Linux-sunucu E-Posta Listesi
Linux-sunucu@liste.linux.org.tr

Liste kurallarınıhttp://liste.linux.org.tr/kurallar.php   bağlantısından 
okuyabilirsiniz;

Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen 
e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 
dakika içinde üyeliğinizi sonlandırabilirsiniz.
https://liste.linux.org.tr/mailman/listinfo/linux-sunucu

_______________________________________________
Linux-sunucu E-Posta Listesi
Linux-sunucu@liste.linux.org.tr <mailto:Linux-sunucu@liste.linux.org.tr>

Liste kurallarını http://liste.linux.org.tr/kurallar.php 
 bağlantısından okuyabilirsiniz;

Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden 
gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini 
kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz.
https://liste.linux.org.tr/mailman/listinfo/linux-sunucu



_______________________________________________
Linux-sunucu E-Posta Listesi
Linux-sunucu@liste.linux.org.tr

Liste kurallarını http://liste.linux.org.tr/kurallar.php  bağlantısından 
okuyabilirsiniz;

Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen 
e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 
dakika içinde üyeliğinizi sonlandırabilirsiniz.
https://liste.linux.org.tr/mailman/listinfo/linux-sunucu

_______________________________________________
Linux-sunucu E-Posta Listesi
Linux-sunucu@liste.linux.org.tr

Liste kurallarını http://liste.linux.org.tr/kurallar.php  bağlantısından 
okuyabilirsiniz;

Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen 
e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 
dakika içinde üyeliğinizi sonlandırabilirsiniz.
https://liste.linux.org.tr/mailman/listinfo/linux-sunucu