Date: Sun, 9 Nov 2003 01:09:06 +0100
From: Theo v. Werkhoven
Subject: Re: Postfix geconfigureerd als open relay

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Unix-date: 1068308751 (08/11/03, 17:25 ships time), Chief Engineers log.
  While performing routine maintenance on the Mutt 1.4.i communications
processor array, this remarkable string of ASCII by
h_reuver@mantell.xs4all.nl caught my eye.

> Hallo,
> Bij het controleren van mijn logfiles kwam ik een enorm aantal
meldingen
> van verzonden mails tegen. Aangezien mijn server relay moet zijn
voor
> een lokaal netwerk moest ik hier dus even in duiken.
> 
> Ik vond in de main.cf (Postfix):
> relay_domains = $mydestination <extra externe hosts en
domeinen>
> mynetworks = 192.168.0.0/24, 127.0.0.0/8
> 
> Hier heb ik van gemaakt:
> relay_domains = localhost hostname.domain <extra externe hosts
en
>                 domeinen>
> mynetworks = 192.168.0.0/24, 127.0.0.0/8
> 
> En even verderop:
> smtpd_helo_required = yes
> smtpd_helo_restrictions = permit_mynetworks,
reject_invalid_hostname,
> reject_unknown_hostname,  reject_non_fqdn_hostname,
check_helo_access
> hash:/etc/postfix/access
> 
> En dit laatste is mijns insziens nu wel even gerechtvaardigt, maar
een
> beetje te strict.

Huh? Ik dacht dat dit over een open relay ging, hoe kom je opeens op
helo_restrictions? Is het relay probleem opgelost?

> Volgens mij werd nl bij de EHLO gemeld dat de mail afkomstig was
van
> mijn externe hostnaam of mijn externe IP. In feite mag bij een
> dergelijke HELO meteen de verbinding verbroken worden. 
> 
> Bestaat er een optie om bij een HELO met je eigen naam of IP de
> SMTP-sessie af te sluiten?

/etc/postfix/helo_regexp
/^van\-werkhoven\.nl$/           550 Don't use my own hostname
/^ferrets4me\.xs4all\.nl$/       550 Don't use my own hostname
/^80\.126\.59\.82$/              550 Don't use my own IP address
/^\[80\.126\.59\.82\]$/          550 Don't use my own IP address
/^[0-9.]+$/                      550 Your software is not RFC 2821
compliant

smtpd_helo_restrictions =
  check_helo_access regexp:/etc/postfix/helo_regexp

> Weet iemand een optie om te kijken of de HELO naam wel overeenkomt
met
> het IP-adres van de afzender?

Er kunnen best legitieme redenen zijn waarom client adres en HELO naam
mogelijk niet overeenkomen. Als je dat zou willen rejecten kost je dat
heel zeker erg veel false positives.

Theo
- -- 
Theo v. Werkhoven    Registered Linux user# 99872 http://counter.li.org
ICBM 52 13 27N , 4 29 45E.
SuSE 8.2 x86
Kernel k_Athlon 2.4.20-4GB
See headers for PGP/GPG info.
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.2-rc1-SuSE (GNU/Linux)

iD8DBQE/rYWic4IkHA+oC7ERAvP+AKCAuFOGIRgy38OToHmh3BzXuRW7HgCbB5Jd
Xzo2w1rqKkYnFrL53M/pke4=
=Ag28
-----END PGP SIGNATURE-----

-- 
Afmelden: mail 'SIG linux' naar listserv@nllgg.nl
Nederlandse Linux Gebruikers Groep        http://www.nllgg.nl/
Mailinglist info: http://mail.nllgg.nl/