• Apfeltalk ändert einen Teil seiner Allgemeinen Geschäftsbedingungen (AGB), das Löschen von Useraccounts betreffend.
    Näheres könnt Ihr hier nachlesen: AGB-Änderung
  • Wir haben den Frühjahrsputz beendet, Ihr auch? Welches Foto zu dem Thema hat Euch dann am Besten gefallen? Hier geht es lang zur Abstimmung --> Klick

[10.6 Snow Leopard] Mailserver - passende Absenderadresse überprüfen

AndyRS

Granny Smith
Registriert
26.03.10
Beiträge
16
Hallo Gemeinde,

ich habe nun einen funktionierenden Mail-Server aufgesetzt.
Für ein- und ausgehende eMails nutze ich einen Provider.

Es funktioniert alles wunderbar.
Nun möchte ich aber den Clients nicht erlauben, dass diese ihre Absenderadresse in Apple Mail einfach ändern dürfen, und mit einem anderen prefix senden -> [email protected] obwohl [email protected] im Arbeitsgruppenmanager eingegeben ist.

Dafür muss ich doch wahrscheinlich etwas in der main.cf vom postfix eintragen, oder??
 

pepi

Cellini
Registriert
03.09.05
Beiträge
8.740
Ich muß gestehen, daß ich nicht wüßte wie man ausgehend gegen den From: Header filtern kann. Die Absendeadresse ist für den Versand völlig unerheblich. Warum sollte ein User diese Einstellung ändern? Ich betreue einige Mailserver seit längerem und hatte damit noch nie ein Problem.
Gruß Pepi
 

AndyRS

Granny Smith
Registriert
26.03.10
Beiträge
16
Da wäre es doch dann möglich, dass sich Hans Meier (einem ganz fiesen Zeitgenossen) als Peter Lustig ausgibt, oder? (auch wenn dann keine Antworten an Hans Meier ankommen)

Natürlich wäre das dennoch im Email-Header zurück zu verfolgen, aber ich dachte, dass es möglicherweise eine Einstellung dafür gibt, wenn man sich am Postausgangsserver entsprechend authentifizieren muss.
 

pepi

Cellini
Registriert
03.09.05
Beiträge
8.740
Das ist auch möglich. Noch nie ein Spam mail bekommen? Die Absendeadresse kann beliebig gesetzt werden. Ich kann Dir gerne auch mal ein Mail von Deiner Mailadresse senden, oder eine beliebigen anderen…

Authentifizierung hat einen anderen Zweck und verlangt, daß sich ein Benutzer ausweist bevor er ein Mail versenden darf. Das ist die Standardeinstellung am Mac OS X Mailserver und das ist auch gut so. Das bedeutet, daß er einen Useraccount dort haben muß und auch für Mail per SACL freigeschaltet sein muß. Was für eine Absendeadresse der User aber in seinem Mailprogramm eingetragen hat hat damit garnichts zu tun.
Gruß Pepi
 

AndyRS

Granny Smith
Registriert
26.03.10
Beiträge
16
Und jetzt hätte ich es toll gefunden, wenn ein authentifizierter Benutzer nur eMails über "meinen Server" versenden darf, die den From : Header haben, der als Kurzname bzw. den Aliasse davon in der Open Directory eingetragen ist.
 
Steinchen

Steinchen

Finkenwerder Herbstprinz
Registriert
15.04.10
Beiträge
470
Hi,

in Postfix machts ein "reject_sender_login_mismatch" in den smtpd_sender_restrictions.

cu
 

AndyRS

Granny Smith
Registriert
26.03.10
Beiträge
16
So wie ich das sehe, brauche ich dafür "smtpd_sender_login_maps = hash:/etc/postfix/virtual" oder etwas ähnliches - ich weiß nur nicht, wie ich eine virtual.db hinbekomme bzw. eine passende finde mit dem Inhalt "E-Mail Adresse SASL-Anmeldename"....
 
Steinchen

Steinchen

Finkenwerder Herbstprinz
Registriert
15.04.10
Beiträge
470
Hi,

wie sind die Mailadressen denn verwaltet. Im LDAP-DIT? oder in Textfiles?

Wenns Ersteres ist, kannst du Postfix einfach beibringen die Adressen aus dem Dit zu lesen, für Letzteres musst du extra ein Textfile pflegen:

echo "[email protected] nutzer1 nutzer2 nutzer3" > /etc/postfix/sender_login_maps
postmap /etc/postfix/sender_login_maps
Zum Vergrößern anklicken....
Sag kurz bescheid und ich helfe dir falls es sich um LDAP oder SQL handelt.

cu
 

AndyRS

Granny Smith
Registriert
26.03.10
Beiträge
16
Steinchen schrieb:
Hi,

wie sind die Mailadressen denn verwaltet. Im LDAP-DIT? oder in Textfiles?

Wenns Ersteres ist, kannst du Postfix einfach beibringen die Adressen aus dem Dit zu lesen, für Letzteres musst du extra ein Textfile pflegen:

Sag kurz bescheid und ich helfe dir falls es sich um LDAP oder SQL handelt.

cu
Zum Vergrößern anklicken....

Mit der Textfile habe ich das Ganze schon mal hinbekommen - funktioniert wunderbar - Danke!

Eleganter und vom administrativen Aufwand wäre es natürlich einfacher die Adresse aus dem LDAP-DIT zu lesen.
Da auf dem Server die Open Directory läuft, sollte das doch gehen, wenn ich hier nichts gedanklich durcheinander bringe, oder?

Also für eine Hilfe bezüglich Postfix und der passenden Abfrage im LDAP-DIT wäre ich sehr dankbar!!!
 
Steinchen

Steinchen

Finkenwerder Herbstprinz
Registriert
15.04.10
Beiträge
470
Hi,

schau dir mal im Dit die Attribute an, ich habe zwar das Schema zu Open Directory gefunden ( http://www.opensource.apple.com/source/OpenLDAP/OpenLDAP-108.1/OpenLDAP/servers/slapd/schema/ ), hab aber gerade nicht die Muße das auseinander zu nehmen um die beiden Attribute für den "Login" und die E-Mailadressen rauszusuchen.

Normalerweise müssten es "uid" für den Login sein, und "mail" für die Adressen. Manchmal gibts aber auch "proxyAdresses" oder ähnliches. Testen kannste das ganze auf dem Mailserver so:

ldapsearch -b dc=domain,dc=tld -h ip-des-servers -x -s sub mail=email_des_nutzers uid

Das Ergebnis sollte die Benutzer-IDs zur Mailadresse zeigen die erlaubt sind. Postfix sucht da noch etwas ausführlicher wenns drum geht die Mail zuzustellen, zum testen langt es allerdings.

die ldap_reject_sender_login_mismatch.cf könnte etwa so aussehen:

search_base = dc=domain,dc=tld
query_filter = mail=%s
result_attribute = uid
Zum Vergrößern anklicken....
Einfach mal speichern und dann mit "postmap -q [email protected] ldap:ldap_reject_sender_login_mismatch.cf" testen.

Siehst ja was bei raus kommt. Wenn der Nutzername auftaucht, kannst du die Liste in die main.cf einbinden.

cu
 

AndyRS

Granny Smith
Registriert
26.03.10
Beiträge
16
Erstmal vielen Dank für deine Unterstützung!

Es sind "uid" für den login und "mail" für die email-Adresse.

Die Abfrage
ldapsearch -b dc=domain,dc=tld -h ip-des-servers -x -s sub mail=email_des_nutzers uid
Zum Vergrößern anklicken....
habe ich in
ldapsearch -b dc=server,dc=domain,dc=tld -h ip-des-servers -x -s sub mail=email_des_nutzers uid
Zum Vergrößern anklicken....
angepasst.

Danach erhielt ich:
# Kurzname, users, Mail-Server.tld
dn: uid=Kurzname,cn=users,dc=server,dc=domain,dc=tld
uid: Kurzname
uid: Kurzname2

# search result
search: 2
result: 0 Success

# numResponses: 2
# numEntries: 1
Zum Vergrößern anklicken....

Soweit so gut...
Die Datei "ldap_reject_sender_login_mismatch.cf" habe ich entsprechend deiner Vorgabe gefüttert.

Nun habe ich das Problem, dass postmap ldap nicht unterstützt.
fatal: unsupported dictionary type: ldap
Zum Vergrößern anklicken....

Gibt es da eine einfache Möglichkeit das freizuschalten bzw. ein Plugin zu installieren?
 
Steinchen

Steinchen

Finkenwerder Herbstprinz
Registriert
15.04.10
Beiträge
470
Hi,

das Postfix unter MAC OS X kein LDAP unterstützt kann ich mir irgendwie nicht vorstellen. Wie wird denn der Rest abgegriffen? Mailadresse, Postfächer usw. ? Da mal nachgeschaut?

Unter bestimmten Distris im Linuxumfeld kann man das Modul für ldap extra installieren und dann auch nutzen.

Wie das unter OSX ist weis ich leider nicht.

cu
 

qunfus

Golden Delicious
Registriert
04.12.08
Beiträge
9
Hallo,

ich weiß, daß das Thema 2 Jahre alt ist, aber bin jetzt zum zweiten Mal hier vorbeigekommen - vielleicht geht es anderen auch so. Eine Antwort auf das Problem gibt es hier:
http://email.about.com/od/macosxmailtips/qt/etalwaysreplyto.htm
Anleitung für's Terminal.
Nachteil: diese so geänderte "reply to" / "Antworten an" - Adresse gilt immer und überall in Mail für alle Postfächer, für alle Serverarten und kann beim Erstellen einer mail nicht überschrieben werden.

Grüße
qunfus
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
2003-2024 Apfeltalk | Made on a Mac
Oben Unten