Postgrey 451 4.3.5 Server configuration problem auf Ubuntu 12.04

  • Hallo Herr Keppler,


    ich habe aktuell mit einen Ubuntu 12.04, LiveConfig r2534 und Postgrey folgendes Problem.


    Wenn ich Postgrey auf dem Server im LiveConfig aktiviere, wird von LiveConfig folgendes in die main.cf von Postfix geschrieben.


    Code
    smtpd_restriction_classes = greylist
    greylist = check_policy_service inet:127.0.0.1:10023


    Leider erhalte ich dann aber folgende Fehlermeldung wenn eine Mail eingehen soll.


    Code
    Oct 30 11:43:32 server106 postfix/smtpd[4156]: NOQUEUE: reject: RCPT from va3ehsobe001.messaging.microsoft.com[216.32.180.11]: 451 4.3.5 Server configuration problem; from=<bstrausmann@l22ld.de> to=<bstrausmann@domain.de> proto=ESMTP helo=<va3outboundpool.messaging.microsoft.com>


    Ursache ist hier scheinbar das zum IPv4 nun auch IPv6 vom Postfix unterstützt wird. Die folge davon ist, dass LiveConfig den Eintrag nun auch IP neutral erstellen muss.


    Code
    smtpd_restriction_classes = greylist
    greylist = check_policy_service inet:::1:10023


    Mit dem neuen Eintrag funktioniert dann auch wieder das Postgrey. Bei mir hat der folgende Beitrag zur Lösung des Problems beigetragen.


    http://www.serenux.com/2013/01…buntu-to-a-newer-version/

  • Hallo Herr Strausmann,


    danke für den interessanten Hinweis.
    Wir sehen hier allerdings ein grundsätzliches Sicherheitsproblem: ein lokaler Benutzer (z.B. böswilliger Webspace-User) kann sich ja problemlos mit Port 10023 verbinden (egal ob über IPv4 oder IPv6). Schafft er es nun aufgrund eines Fehlers in Postgrey, diesen Prozess zum Absturz zu bringen, so kann er selber ein eigenes Programm starten, welches auf Port 10023 lauscht und somit alle E-Mails erhält. Implementiert man dann noch die Milter-API, bekommt Postfix davon gar nichts mit.


    Eine bessere Lösung ist es daher, Postgrey mit einem Unix-Socket zu starten (--unix=/var/run/postgrey.sock) und in der Postfix-Konfiguration auf diesen zu verweisen (check_policy_service unix:/var/run/postgrey.sock).


    Wir lassen uns etwas einfallen, wie LiveConfig erkennen kann auf welchem IP- oder Unix-Socket nun Postgrey erreichbar ist, und Postfix entsprechend einrichtet.


    Viele Grüße


    -Klaus Keppler

  • Hallo Herr Strausmann,


    Wir lassen uns etwas einfallen, wie LiveConfig erkennen kann auf welchem IP- oder Unix-Socket nun Postgrey erreichbar ist, und Postfix entsprechend einrichtet.


    Wann werden Sie diesen Fehler beheben? Als ich gestern Whitelisting ausprobierte, wurden meine Kunden wiederum das Opfer dieser immer noch bestehenden Irritation, die meinen Mailserver lahm gelegt hatte.

  • Wir lassen uns etwas einfallen, wie LiveConfig erkennen kann auf welchem IP- oder Unix-Socket nun Postgrey erreichbar ist, und Postfix entsprechend einrichtet.


    Weiterhin steht in /usr/lib/liveconfig/lua/postfix.lua
    > CONF['greylist'] = "check_policy_service inet:127.0.0.1:10023"

    # Das Gras wächst nicht schneller wenn man daran zieht # Bitte keine inflationären Vollzitate #

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!