Moin!

Auf meinem postfix Server wollen sich Gott und die Welt auf den Port
submission anmelden. Ich möchte das nicht und will das wegfiltern.

Dazu hatte ich folgende Idee:

In der "/etc/postfix/master.cf" habe ich gesagt:

submissions inet n - n - - smtpd
-o syslog_name=postfix/submissions
-o smtpd_tls_wrappermode=yes
-o smtpd_sasl_auth_enable=yes
-o local_header_rewrite_clients=static:all
-o smtpd_reject_unlisted_recipient=no
# Instead of specifying complex smtpd_<xxx>_restrictions here,
# specify "smtpd_<xxx>_restrictions=$mua_<xxx>_restrictions"
# here, and specify mua_<xxx>_restrictions in main.cf (where
# "<xxx>" is "client", "helo", "sender", "relay", or "recipient").
# -o smtpd_client_restrictions=
-o smtpd_client_restrictions=$mua_client_restrictions
-o smtpd_helo_restrictions=
# -o smtpd_sender_restrictions=
-o smtpd_relay_restrictions=
-o smtpd_recipient_restrictions=reject_sender_login_mismatch,permit_sasl_authenticated,reject
-o milter_macro_daemon_name=ORIGINATING

In der "/etc/postfix/main.cf" definiert:

# MUA checks
mua_client_restrictions =
check_client_access cidr:/etc/postfix/mua-client-blacklist.cidr

Und in der Datei: "/etc/postfix/mua-client-blacklist.cidr":

141.98.11.0/24 REJECT blacklisted
172.88.0.0/14 REJECT blacklisted

Soweit, so gut. Das Problem ist jedoch, dass der Effekt nicht eintritt. Nichts
wird rejected! Ich sehe trotzdem noch im log:

postfix/submissions/smtpd[2097]: warning: unknown[141.98.11.82]: SASL LOGIN authentication failed: UGFzc3dvcmQ6, sasl_username=dalmaine@swapon.de

Habe ich einen Denkfehler?

mfg Friedemann

Am 03.11.23 um 15:54 schrieb Friedemann Stoyan:

> # MUA checks
> mua_client_restrictions =
> check_client_access cidr:/etc/postfix/mua-client-blacklist.cidr
>
>
> Und in der Datei: "/etc/postfix/mua-client-blacklist.cidr":
>
> 141.98.11.0/24 REJECT blacklisted
> 172.88.0.0/14 REJECT blacklisted
>
> Soweit, so gut. Das Problem ist jedoch, dass der Effekt nicht eintritt. Nichts
> wird rejected! Ich sehe trotzdem noch im log:
>
> postfix/submissions/smtpd[2097]: warning: unknown[141.98.11.82]: SASL LOGIN authentication failed: UGFzc3dvcmQ6, sasl_username=dalmaine@swapon.de
>
>
> Habe ich einen Denkfehler?

Check mal smtpd_delay_reject.

MfG

Markus Schaaf wrote:
> Am 03.11.23 um 15:54 schrieb Friedemann Stoyan:

>> # MUA checks
>> mua_client_restrictions =
>> check_client_access cidr:/etc/postfix/mua-client-blacklist.cidr
>>
>>
>> Und in der Datei: "/etc/postfix/mua-client-blacklist.cidr":
>>
>> 141.98.11.0/24 REJECT blacklisted
>> 172.88.0.0/14 REJECT blacklisted
>>
>> Soweit, so gut. Das Problem ist jedoch, dass der Effekt nicht eintritt. Nichts
>> wird rejected! Ich sehe trotzdem noch im log:
>>
>> postfix/submissions/smtpd[2097]: warning: unknown[141.98.11.82]: SASL LOGIN authentication failed: UGFzc3dvcmQ6, sasl_username=dalmaine@swapon.de
>>
>>
>> Habe ich einen Denkfehler?

> Check mal smtpd_delay_reject.

Potzblitz! Damit rejected postfix sofort! Vielen Dank.

mfg Friedemann

Friedemann Stoyan <usenet@ip6-mail.de> wrote:

> Auf meinem postfix Server wollen sich Gott und die Welt auf den Port
> submission anmelden. Ich möchte das nicht und will das wegfiltern.

Wieso blockierst du die nicht einfach mit iptables?

--
Ullrich Horlacher Server und Virtualisierung
Rechenzentrum TIK
Universitaet Stuttgart E-Mail: horlacher@tik.uni-stuttgart.de
Allmandring 30a Tel: ++49-711-68565868
70569 Stuttgart (Germany) WWW: https://www.tik.uni-stuttgart.de/

Ulli Horlacher wrote:
> Friedemann Stoyan <usenet@ip6-mail.de> wrote:

>> Auf meinem postfix Server wollen sich Gott und die Welt auf den Port
>> submission anmelden. Ich möchte das nicht und will das wegfiltern.

> Wieso blockierst du die nicht einfach mit iptables?

Weil ich finde, dass, wenn ich jemanden auf Applikationsebene aussperren
möchte, dann auch die Applikation der erste Ansatz sein sollte. Wenn es denn
möglich ist. Und hier ist es ja möglich. Wenn es denn nicht möglich ist, dann
würde ich zu IP-Access-Lists greifen und wenn das nicht geht zu nftables.
In dieser Reihenfolge.

Kann ja sein, dass das heute nicht mehr „modern“ ist, weil man sich nicht mehr
mit der Applikation beschäftigen möchte. Und dann hat alles per nftables dropt
und resettet. Ich habe es auf Application-Layer aber lieber.

mfg Friedemann

Friedemann Stoyan <usenet@ip6-mail.de> wrote:
> Ulli Horlacher wrote:
>> Friedemann Stoyan <usenet@ip6-mail.de> wrote:
>
>>> Auf meinem postfix Server wollen sich Gott und die Welt auf den Port
>>> submission anmelden. Ich möchte das nicht und will das wegfiltern.
>
>> Wieso blockierst du die nicht einfach mit iptables?
>
>
> Weil ich finde, dass, wenn ich jemanden auf Applikationsebene aussperren
> möchte, dann auch die Applikation der erste Ansatz sein sollte.

Dann muss man sich mit JEDER Applikation und dessen Konfiguration auskennen.
Das ist mir zu umstaendlich.
Ausserdem, wenn ich jemand sperre, dann will ich mit dem GAR NICHTS mehr
zu tun haben, egal welcher Service.

--
Ullrich Horlacher Server und Virtualisierung
Rechenzentrum TIK
Universitaet Stuttgart E-Mail: horlacher@tik.uni-stuttgart.de
Allmandring 30a Tel: ++49-711-68565868
70569 Stuttgart (Germany) WWW: https://www.tik.uni-stuttgart.de/

On 2023-11-04 07:12, Ulli Horlacher <framstag@rus.uni-stuttgart.de> wrote:
> Friedemann Stoyan <usenet@ip6-mail.de> wrote:
>> Ulli Horlacher wrote:
>>> Friedemann Stoyan <usenet@ip6-mail.de> wrote:
>>>> Auf meinem postfix Server wollen sich Gott und die Welt auf den Port
>>>> submission anmelden. Ich möchte das nicht und will das wegfiltern.
>>
>>> Wieso blockierst du die nicht einfach mit iptables?
>>
>>
>> Weil ich finde, dass, wenn ich jemanden auf Applikationsebene aussperren
>> möchte, dann auch die Applikation der erste Ansatz sein sollte.
>
> Dann muss man sich mit JEDER Applikation und dessen Konfiguration auskennen.

Bei Applikationen, die Services im Internet zur Verfügung stellen,
sollte man sich sowieso in der Konfiguration auskennen. Und sei es nur
soweit, dass man beurteilen kann, dass gewisse Teile für die eigene
Anwendung irrelevant sind und ignoriert werden können.

> Das ist mir zu umstaendlich.

iptables/nftables hat einen weiteren Vorteil: Es kommt gar keine
Verbindung zustande. Somit sind auch eventuelle Sicherheitslücken in der
Authentifikation/Autorisation nicht ausnützbar.

> Ausserdem, wenn ich jemand sperre, dann will ich mit dem GAR NICHTS mehr
> zu tun haben, egal welcher Service.

Das ist im Allgemeinen nicht der Fall. Mein Webserver soll natürlich für
alle zugänglich sein. Ebenso will ich prinzipiell Mail aus aller Welt
empfangen können (SMTP, Port 25). Aber die Personen, die die Mails dann
mittels IMAP (Ports 143, 993) lesen können bzw. welche über sen Server
verschicken (Port 587) können sollen, sind wenige und halten sich in
einigen wenigen Netzen auf. Daher macht es durchaus Sinn, IMAP und
SUBMISSION für diese Netze zu whitelisten und für alle anderen zu
sperren, während das für HTTPS und SMTP unsinnig wäre.

hp

Am 04.11.23 um 11:10 schrieb Peter J. Holzer:

>
> iptables/nftables hat einen weiteren Vorteil: Es kommt gar keine
> Verbindung zustande. Somit sind auch eventuelle Sicherheitslücken in der
> Authentifikation/Autorisation nicht ausnützbar.
Und müllen einem das Log nicht voll...
Tim

Am 03.11.23 um 23:43 schrieb Ulli Horlacher:
> Friedemann Stoyan <usenet@ip6-mail.de> wrote:
>
>> Auf meinem postfix Server wollen sich Gott und die Welt auf den Port
>> submission anmelden. Ich möchte das nicht und will das wegfiltern.
>
> Wieso blockierst du die nicht einfach mit iptables?

Auch wenn im Beispiel nicht zu sehen, sind die
Filtermöglichkeiten durch Postfix viel umfangreicher, als reine
IP-Listen. Man kann z.B. nach Domain-Namen, nach IP des
Nameservers oder des MX filtern, man kann DNS-BLs abfragen usw.

MfG

Am 04.11.23 um 12:41 schrieb Markus Schaaf:
> Am 03.11.23 um 23:43 schrieb Ulli Horlacher:
>> Friedemann Stoyan <usenet@ip6-mail.de> wrote:
>>
>>> Auf meinem postfix Server wollen sich Gott und die Welt auf den Port
>>> submission anmelden. Ich möchte das nicht und will das wegfiltern.
>>
>> Wieso blockierst du die nicht einfach mit iptables?
>
> Auch wenn im Beispiel nicht zu sehen, sind die Filtermöglichkeiten durch
> Postfix viel umfangreicher, als reine IP-Listen. Man kann z.B. nach
> Domain-Namen, nach IP des Nameservers oder des MX filtern, man kann
> DNS-BLs abfragen usw.
>
Hast du übersehen, dass es um Submission geht?
Das ist kein Dienst für die Allgemeinheit.

Tim

Am 04.11.23 um 13:10 schrieb Tim Ritberg:
> Am 04.11.23 um 12:41 schrieb Markus Schaaf:

>> Auch wenn im Beispiel nicht zu sehen, sind die Filtermöglichkeiten durch
>> Postfix viel umfangreicher, als reine IP-Listen. Man kann z.B. nach
>> Domain-Namen, nach IP des Nameservers oder des MX filtern, man kann
>> DNS-BLs abfragen usw.
>>
> Hast du übersehen, dass es um Submission geht?
> Das ist kein Dienst für die Allgemeinheit.

Und? Auch da wäre es einfacher

..elaboris.de OK

zu schreiben, als eine Firewall zu betreiben und umständlich
IP-Bereiche einzupflegen. Auf meinem Mailserver läuft z.B. gar
keine Firewall. Außerdem behandle ich Submission nicht anders als
SMTP, weil ich auch von unterwegs E-Mails einliefern möchte. Auch
aus dem Ausland.

MfG

On 2023-11-04 12:10, Tim Ritberg <tim@server.invalid> wrote:
> Am 04.11.23 um 12:41 schrieb Markus Schaaf:
>> Am 03.11.23 um 23:43 schrieb Ulli Horlacher:
>>> Friedemann Stoyan <usenet@ip6-mail.de> wrote:
>>>> Auf meinem postfix Server wollen sich Gott und die Welt auf den Port
>>>> submission anmelden. Ich möchte das nicht und will das wegfiltern.
>>>
>>> Wieso blockierst du die nicht einfach mit iptables?
>>
>> Auch wenn im Beispiel nicht zu sehen, sind die Filtermöglichkeiten durch
>> Postfix viel umfangreicher, als reine IP-Listen. Man kann z.B. nach
>> Domain-Namen, nach IP des Nameservers oder des MX filtern, man kann
>> DNS-BLs abfragen usw.
>>
> Hast du übersehen, dass es um Submission geht?
> Das ist kein Dienst für die Allgemeinheit.

Was umso mehr für eine komplexere Konfiguration spricht. Beispielsweise
könnte man Submission aus dem lokalen Netz ohne (weitere)
Authentifikation zulassen, die mit einem PTR-Record, der auf die Domain
des eigenen Mobilfunkbetreibers verweist, nur mit SCRAM und alle anderen
gar nicht.

hp

Ulli Horlacher <framstag@rus.uni-stuttgart.de> schrieb:

> Friedemann Stoyan <usenet@ip6-mail.de> wrote:
>
>> Auf meinem postfix Server wollen sich Gott und die Welt auf den Port
>> submission anmelden. Ich möchte das nicht und will das wegfiltern.
>
> Wieso blockierst du die nicht einfach mit iptables?

Das wäre reichlich windowsmäßig. Ein vernünftig konfigurierter Server
benötigt keinen packet-filter.

Gruß,

Marcus
⚂⚃

Marcus Jodorf <m@bogomips.de> wrote:

> Das wäre reichlich windowsmäßig. Ein vernünftig konfigurierter Server
> benötigt keinen packet-filter.

So wie ein vernuenftig administrierter Server kein backup braucht.

--
Ullrich Horlacher Server und Virtualisierung
Rechenzentrum TIK
Universitaet Stuttgart E-Mail: horlacher@tik.uni-stuttgart.de
Allmandring 30a Tel: ++49-711-68565868
70569 Stuttgart (Germany) WWW: https://www.tik.uni-stuttgart.de/

Am 05.11.23 um 09:45 schrieb Ulli Horlacher:
> Marcus Jodorf <m@bogomips.de> wrote:
>
>> Das wäre reichlich windowsmäßig. Ein vernünftig konfigurierter Server
>> benötigt keinen packet-filter.
>
> So wie ein vernuenftig administrierter Server kein backup braucht.
>
>

Ok warriors, choose your weapons :-P

Tim