Absenderbasiertes Relaying, darf jeder als jeder senden?

[InaBruns]

Hallo zusammen,

ich habe da mal eine ganz allgemeine Frage.
Wenn ich in der Mailstation "absenderbasiertes Relaying" konfiguriere, gibts da nicht ein kleines Problem? Ich versuchs mal zu beschreiben...

Also für Benutzer Adam werden die eMails vom web.de-Account und vom gmx-Account per cron-Job eingesammelt und im Mailstation-Account (adam@mailstation.dom) bereitgestellt. Adam kann dann den Webmailer aufrufen und sieht alle eingesammelten eMails.

Bei Benutzer Benny sieht es genauso aus, seine eMails kommen allerdings vom gmx-Account und vom 1und1-Account und auch noch vom googlemail-Account. Alles per getmail und cronJobs, wird auch alles korrekt in die .Maildir's einsortiert. Benutzer Benny kann sich im Webmailer anmelden und sieht alle eMails seiner 3 Accounts.

Ist ne tolle Sache. Beim Senden geht das ähnlich. Benutzer Adam meldet sich im Webmailer an und legt für seine beiden "reellen" Postfächer (bei web.de und bei gmx) jeweils eine Identität an. Wenn er eine eMail schreibt, kann er dann auswählen über welchen externen Server die eMail versendet wird. (simple Relay-Server-Geschichte, steht ja auch in unzähligen Anleitungen)

Benny macht das gleiche, er legt 3 Identitäten an und kann nun ganz bequem auswählen, unter welcher "Identität" er die eMails verschickt. Das ist im übrigen ne praktische Sache, wenn man private und dienstliche eMailpostfächer (und vielleicht noch eins nur für Werbekram oder Spam) unterscheiden möchte.

Soweit so gut, meine Frage ist eigentlich folgende:
Was hindert denn den Benny daran, als Identität die eMail-Adresse vom Adam anzulegen? Benny braucht dafür kein Passwort kennen, er wird auch später nicht Adam's eMails empfangen können, aber Benny kann doch seine eigenen eMails als "Adam" (sogar über Adam's Server!) versenden! Oder habe ich da irgendetwas übersehen

Bitte um kurze Antwort...

LG Ina

Hier übrigens die "Quasi-Konfigurationsdateien" (mit geänderten Zugangsdaten...)

/usr/syno/mailstation/etc/main.cf:
  smtp_sender_dependent_authentication = yes
  sender_dependent_relayhost_maps = hash:/usr/syno/mailstation/etc/sender_relay
  smtp_sasl_auth_enable = yes
  smtp_sasl_password_maps = hash:/usr/syno/mailstation/etc/sasl_passwd
  #relayhost = [wird.nicht.gebraucht]:submission

/usr/syno/mailstation/etc/sasl_passwd:
  # Per-sender authentication; see also /etc/sender_relay.
  adam.nachname@web.de adam.nachname@web.de:AdAm123
  der-lustige-adam@gmx.de der-lustige-adam@gmx.de:PASSwort123
  benny.bingo@gmx.de benny.bingo@gmx.de:abcd1234
  mail@benny-online.de mail@benny-online.de:meinewebsite
  benny-b@googlemail.com benny-b@googlemail.com:g00glepassw0rt

/usr/syno/mailstation/etc/sender_relay:
  # Per-sender provider; see also /etc/sasl_passwd.
  adam.nachname@web.de [smtp.web.de]:submission
  der-lustige-adam@gmx.de [smtp.gmx.net]:submission
  benny-bingo@gmx.de [smtp.gmx.net]:submission
  mail@benny-online.de [smtp.1und1.com]:submission
  benny-b@googlemail.com [smtp.googlemail.com]:submission

 

[jahlives]

Wenn der böse Benny als Absender die Adresse von Adam angibt, dann hat Postfix keine Möglichkeit dies zu verhindern. Postfix sucht nach einem Eintrag zur Absenderadresse und versendet über den angegebenen Relayserver mit den hinterlegten User/PW-Daten.
Das ist aber kein Postfix Problem sondern ein grundsätzliches Problem des SMTP Protokolls. Jeder kann jede x-beliebige Adresse als Absender angeben. Die Verifizierung dass eine Adresse auch einem bestimmten lokalen Benutzer gehört ist im SMTP Protokoll nicht vorgesehen und wäre auch sonst sehr sehr schwer umzusetzen.

 

[InaBruns]

Na super...

ich hab ja sowas in der Richtung schon vermutet.
Es ist nur... Wenn das (zugegeben ur-alte) SMTP diese Unterscheidung nicht kann, liegt es doch nahe, ein anderes Protokoll zu benutzen.

Aber welches?

Ina

 

[jahlives]

Nenn mir mal das Kriterium anhand dessen der Emailserver feststellen kann ob der entsprechende Client diese Emailadresse verwenden darf oder nicht. Ich wüsste nichts zuverlässiges um das zu erreichen

 

[InaBruns]

Hmm... so vom Ansatz her könnte Postfix das übernehmen.

Es gibt ja schon die beiden "Tabellen", in denen die Zuordnung zwischen Absenderadresse und Mailserver, bzw Absenderadresse und Authentifizierung definiert wird.

Was spricht gegen eine Dritte zur Definition der Beziehung zwsichen [welcher User] darf [welche eMail-Adresse] benutzen?

Ich glaube, ich werde nochmal die Postfix-Handbücher durcharbeiten. Irgendwie kann ich mir nicht vorstellen, dass es sowas nicht doch schon gibt. Diese (oder eine ähnliche) Lösung liegt doch sozusagen auf der Hand...

LG Ina

 

[jahlives]

Dagegen sprechen für mich mehrere Punkte: Zum einen sind viele Mailserver so aufgesetzt, dass sie dem lokalen Netzwerk vertrauen und das Relaying ermöglichen auch ohne dass der User konkret authentifiziert werden konnte.Dein Vorschlag würde voraussetzen, dass die User immer authentifiziert werden. Dann könnte Postfix eine Liste konsultieren, um zu schauen, welche Accounts der User benutzen darf.
Zudem könnte es Probleme mit dem Versenden von Emails mit externem Absender geben. Diese externen Emails zu jedem Benutzer müsste der Admin immer händisch nachtragen --> ziemlicher Aufwand.
Für mich ist dein Problem nicht so gross, denn in den Logfiles kann der Admin genau nachvollziehen, wer wann eine Email verschickt hat. Bei Missbrauch kann sich Adam ja beim Admin melden und dieser wird dann dem bösen Benny die Ohren langziehen oder gesamten Emailzugriff sperren

Ausserdem beziehen sich die Kontrollmöglichkeiten von Postfix nur auf die Werte die im SMTP Dialog übergeben werden d.h. der böse Benny könnte als MAIL FROM im SMTP Dialog korrekt benny@domain.tld verwenden und dann im Header der Email als Absender wieder adam@domain.tld. Postfix prüft die Header der Email in dem Sinne nicht. Es gibt zwar die Header Body Checks aber sobald diese zum Tragen kommen hat Postfix keine Möglichkeit mehr den authentifizierten User festzustellen

 

[jahlives]

Habe gerade etwas im Manual gefunden was dir helfen könnte

reject_sender_login_mismatch
Reject the request when $smtpd_sender_login_maps specifies an owner for the MAIL FROM address, but the client is not (SASL) logged in as that MAIL FROM address owner; or when the client is (SASL) logged in, but the client login name doesn't own the MAIL FROM address according to $smtpd_sender_login_maps.

Das müsste in etwa das sein, was du suchst.

 

[InaBruns]

Vielen Dank für den Hinweis,

GENAU DAS hab ich gesucht. Bringt exakt das erwartete Ergebnis.

LG Ina

 

[jahlives]

Vielen Dank für den Hinweis,

GENAU DAS hab ich gesucht. Bringt exakt das erwartete Ergebnis.

LG Ina

Setzt aber voraus, dass auf dem fraglichen Port die SASL-Authentifizierung läuft. Sonst hagelt diese Direktive nur Fehlermeldungen.