Postfix: submission/submissions filtern

Discussion:

(zu alt für eine Antwort)

Friedemann Stoyan

2023-11-03 14:54:51 UTC

Moin!

Auf meinem postfix Server wollen sich Gott und die Welt auf den Port
submission anmelden. Ich möchte das nicht und will das wegfiltern.

Dazu hatte ich folgende Idee:

In der "/etc/postfix/master.cf" habe ich gesagt:

submissions inet n - n - - smtpd
-o syslog_name=postfix/submissions
-o smtpd_tls_wrappermode=yes
-o smtpd_sasl_auth_enable=yes
-o local_header_rewrite_clients=static:all
-o smtpd_reject_unlisted_recipient=no
# Instead of specifying complex smtpd_<xxx>_restrictions here,
# specify "smtpd_<xxx>_restrictions=$mua_<xxx>_restrictions"
# here, and specify mua_<xxx>_restrictions in main.cf (where
# "<xxx>" is "client", "helo", "sender", "relay", or "recipient").
# -o smtpd_client_restrictions=
-o smtpd_client_restrictions=$mua_client_restrictions
-o smtpd_helo_restrictions=
# -o smtpd_sender_restrictions=
-o smtpd_relay_restrictions=
-o smtpd_recipient_restrictions=reject_sender_login_mismatch,permit_sasl_authenticated,reject
-o milter_macro_daemon_name=ORIGINATING

In der "/etc/postfix/main.cf" definiert:

# MUA checks
mua_client_restrictions =
check_client_access cidr:/etc/postfix/mua-client-blacklist.cidr

Und in der Datei: "/etc/postfix/mua-client-blacklist.cidr":

141.98.11.0/24 REJECT blacklisted
172.88.0.0/14 REJECT blacklisted

Soweit, so gut. Das Problem ist jedoch, dass der Effekt nicht eintritt. Nichts
wird rejected! Ich sehe trotzdem noch im log:

postfix/submissions/smtpd[2097]: warning: unknown[141.98.11.82]: SASL LOGIN authentication failed: UGFzc3dvcmQ6, sasl_username=***@swapon.de

Habe ich einen Denkfehler?

mfg Friedemann

Markus Schaaf

2023-11-03 15:49:26 UTC

Permalink

Post by Friedemann Stoyan
# MUA checks
mua_client_restrictions =
check_client_access cidr:/etc/postfix/mua-client-blacklist.cidr
141.98.11.0/24 REJECT blacklisted
172.88.0.0/14 REJECT blacklisted
Soweit, so gut. Das Problem ist jedoch, dass der Effekt nicht eintritt. Nichts
Habe ich einen Denkfehler?

Check mal smtpd_delay_reject.

MfG

Friedemann Stoyan

2023-11-03 16:01:40 UTC

Permalink

Post by Markus Schaaf

Check mal smtpd_delay_reject.

Potzblitz! Damit rejected postfix sofort! Vielen Dank.

mfg Friedemann

Ulli Horlacher

2023-11-03 22:43:35 UTC

Permalink

Post by Friedemann Stoyan
Auf meinem postfix Server wollen sich Gott und die Welt auf den Port
submission anmelden. Ich möchte das nicht und will das wegfiltern.

Wieso blockierst du die nicht einfach mit iptables?

--
Ullrich Horlacher Server und Virtualisierung
Rechenzentrum TIK
Universitaet Stuttgart E-Mail: ***@tik.uni-stuttgart.de
Allmandring 30a Tel: ++49-711-68565868
70569 Stuttgart (Germany) WWW: https://www.tik.uni-stuttgart.de/

Friedemann Stoyan

2023-11-04 03:58:53 UTC

Permalink

Post by Ulli Horlacher

Post by Friedemann Stoyan
Auf meinem postfix Server wollen sich Gott und die Welt auf den Port
submission anmelden. Ich möchte das nicht und will das wegfiltern.

Wieso blockierst du die nicht einfach mit iptables?

Weil ich finde, dass, wenn ich jemanden auf Applikationsebene aussperren
möchte, dann auch die Applikation der erste Ansatz sein sollte. Wenn es denn
möglich ist. Und hier ist es ja möglich. Wenn es denn nicht möglich ist, dann
würde ich zu IP-Access-Lists greifen und wenn das nicht geht zu nftables.
In dieser Reihenfolge.

Kann ja sein, dass das heute nicht mehr „modern“ ist, weil man sich nicht mehr
mit der Applikation beschäftigen möchte. Und dann hat alles per nftables dropt
und resettet. Ich habe es auf Application-Layer aber lieber.

mfg Friedemann

Ulli Horlacher

2023-11-04 07:12:45 UTC

Permalink

Post by Friedemann Stoyan

Post by Ulli Horlacher

Post by Friedemann Stoyan
Auf meinem postfix Server wollen sich Gott und die Welt auf den Port
submission anmelden. Ich möchte das nicht und will das wegfiltern.

Wieso blockierst du die nicht einfach mit iptables?

Weil ich finde, dass, wenn ich jemanden auf Applikationsebene aussperren
möchte, dann auch die Applikation der erste Ansatz sein sollte.

Dann muss man sich mit JEDER Applikation und dessen Konfiguration auskennen.
Das ist mir zu umstaendlich.
Ausserdem, wenn ich jemand sperre, dann will ich mit dem GAR NICHTS mehr
zu tun haben, egal welcher Service.

Peter J. Holzer

2023-11-04 10:10:52 UTC

Permalink

Post by Ulli Horlacher

Post by Friedemann Stoyan

Post by Ulli Horlacher

Post by Friedemann Stoyan
Auf meinem postfix Server wollen sich Gott und die Welt auf den Port
submission anmelden. Ich möchte das nicht und will das wegfiltern.

Wieso blockierst du die nicht einfach mit iptables?

Weil ich finde, dass, wenn ich jemanden auf Applikationsebene aussperren
möchte, dann auch die Applikation der erste Ansatz sein sollte.

Dann muss man sich mit JEDER Applikation und dessen Konfiguration auskennen.

Bei Applikationen, die Services im Internet zur Verfügung stellen,
sollte man sich sowieso in der Konfiguration auskennen. Und sei es nur
soweit, dass man beurteilen kann, dass gewisse Teile für die eigene
Anwendung irrelevant sind und ignoriert werden können.

Post by Ulli Horlacher
Das ist mir zu umstaendlich.

iptables/nftables hat einen weiteren Vorteil: Es kommt gar keine
Verbindung zustande. Somit sind auch eventuelle Sicherheitslücken in der
Authentifikation/Autorisation nicht ausnützbar.

Post by Ulli Horlacher
Ausserdem, wenn ich jemand sperre, dann will ich mit dem GAR NICHTS mehr
zu tun haben, egal welcher Service.

Das ist im Allgemeinen nicht der Fall. Mein Webserver soll natürlich für
alle zugänglich sein. Ebenso will ich prinzipiell Mail aus aller Welt
empfangen können (SMTP, Port 25). Aber die Personen, die die Mails dann
mittels IMAP (Ports 143, 993) lesen können bzw. welche über sen Server
verschicken (Port 587) können sollen, sind wenige und halten sich in
einigen wenigen Netzen auf. Daher macht es durchaus Sinn, IMAP und
SUBMISSION für diese Netze zu whitelisten und für alle anderen zu
sperren, während das für HTTPS und SMTP unsinnig wäre.

hp

Tim Ritberg

2023-11-04 10:12:21 UTC

Permalink

Post by Peter J. Holzer
iptables/nftables hat einen weiteren Vorteil: Es kommt gar keine
Verbindung zustande. Somit sind auch eventuelle Sicherheitslücken in der
Authentifikation/Autorisation nicht ausnützbar.

Und müllen einem das Log nicht voll...
Tim

Markus Schaaf

2023-11-04 11:41:23 UTC

Permalink

Post by Ulli Horlacher

Post by Friedemann Stoyan
Auf meinem postfix Server wollen sich Gott und die Welt auf den Port
submission anmelden. Ich möchte das nicht und will das wegfiltern.

Wieso blockierst du die nicht einfach mit iptables?

Auch wenn im Beispiel nicht zu sehen, sind die
Filtermöglichkeiten durch Postfix viel umfangreicher, als reine
IP-Listen. Man kann z.B. nach Domain-Namen, nach IP des
Nameservers oder des MX filtern, man kann DNS-BLs abfragen usw.

MfG

Tim Ritberg

2023-11-04 12:10:13 UTC

Permalink

Post by Ulli Horlacher

Post by Friedemann Stoyan
Auf meinem postfix Server wollen sich Gott und die Welt auf den Port
submission anmelden. Ich möchte das nicht und will das wegfiltern.

Wieso blockierst du die nicht einfach mit iptables?

Auch wenn im Beispiel nicht zu sehen, sind die Filtermöglichkeiten durch
Postfix viel umfangreicher, als reine IP-Listen. Man kann z.B. nach
Domain-Namen, nach IP des Nameservers oder des MX filtern, man kann
DNS-BLs abfragen usw.

Hast du übersehen, dass es um Submission geht?
Das ist kein Dienst für die Allgemeinheit.

Tim

Markus Schaaf

2023-11-04 12:43:09 UTC

Permalink

Post by Tim Ritberg

Auch wenn im Beispiel nicht zu sehen, sind die Filtermöglichkeiten durch
Postfix viel umfangreicher, als reine IP-Listen. Man kann z.B. nach
Domain-Namen, nach IP des Nameservers oder des MX filtern, man kann
DNS-BLs abfragen usw.

Hast du übersehen, dass es um Submission geht?
Das ist kein Dienst für die Allgemeinheit.

Und? Auch da wäre es einfacher

.elaboris.de OK

zu schreiben, als eine Firewall zu betreiben und umständlich
IP-Bereiche einzupflegen. Auf meinem Mailserver läuft z.B. gar
keine Firewall. Außerdem behandle ich Submission nicht anders als
SMTP, weil ich auch von unterwegs E-Mails einliefern möchte. Auch
aus dem Ausland.

MfG

Peter J. Holzer

2023-11-04 12:49:24 UTC

Permalink

Post by Tim Ritberg

Post by Ulli Horlacher

Post by Friedemann Stoyan
Auf meinem postfix Server wollen sich Gott und die Welt auf den Port
submission anmelden. Ich möchte das nicht und will das wegfiltern.

Wieso blockierst du die nicht einfach mit iptables?

Auch wenn im Beispiel nicht zu sehen, sind die Filtermöglichkeiten durch
Postfix viel umfangreicher, als reine IP-Listen. Man kann z.B. nach
Domain-Namen, nach IP des Nameservers oder des MX filtern, man kann
DNS-BLs abfragen usw.

Hast du übersehen, dass es um Submission geht?
Das ist kein Dienst für die Allgemeinheit.

Was umso mehr für eine komplexere Konfiguration spricht. Beispielsweise
könnte man Submission aus dem lokalen Netz ohne (weitere)
Authentifikation zulassen, die mit einem PTR-Record, der auf die Domain
des eigenen Mobilfunkbetreibers verweist, nur mit SCRAM und alle anderen
gar nicht.

hp

Marcus Jodorf

2023-11-05 03:35:07 UTC

Permalink

Post by Ulli Horlacher

Post by Friedemann Stoyan
Auf meinem postfix Server wollen sich Gott und die Welt auf den Port
submission anmelden. Ich möchte das nicht und will das wegfiltern.

Wieso blockierst du die nicht einfach mit iptables?

Das wäre reichlich windowsmäßig. Ein vernünftig konfigurierter Server
benötigt keinen packet-filter.

Gruß,

Marcus
⚂⚃

Ulli Horlacher

2023-11-05 08:45:56 UTC

Permalink

Post by Marcus Jodorf
Das wäre reichlich windowsmäßig. Ein vernünftig konfigurierter Server
benötigt keinen packet-filter.

So wie ein vernuenftig administrierter Server kein backup braucht.

Tim Ritberg

2023-11-05 10:23:37 UTC

Permalink

Post by Ulli Horlacher

Post by Marcus Jodorf
Das wäre reichlich windowsmäßig. Ein vernünftig konfigurierter Server
benötigt keinen packet-filter.