Re: Openrelay auf meinem Server

From: Bernd Walter <ticso(at)cicely12.cicely.de>
Date: Wed, 17 Nov 2004 00:27:37 +0100

On Tue, Nov 16, 2004 at 11:44:19PM +0100, Matthias Fechner wrote:
> Hallo Bernd,
>
> * Bernd Walter <ticso(at)cicely12.cicely.de> [16-11-04 18:56]:
> > On Tue, Nov 16, 2004 at 02:35:54PM +0100, Matthias Fechner wrote:
> > > FEATURE(relay_based_on_MX)
> >
> > Ist damit evtl die IP vom Testhost drin?
>
> Nein ist sie nicht, aber ich kann diesen Eintrag gerne raus nehmen,
> wenn mir noch ein paar Sachen klar geworden sind. :-)

Du solltest den erst dann rausnehmen, sobald du dir absolut darüber
im klaren bist die richtigen Einträge ins access File aufgenommen
zu haben.

> > Du solltest besser manuel die Domainnamen und IPs in der access
> > Pflegen, anstelle hier aufs DNS zu vertrauen.
> > Läuft in etwa so:
> > To:cicely.de RELAY
> > Connect:10.1.1 RELAY
>
> Ok, nehmen wir mal an, die IP 80.67.228.173 hat meinen Rechner als
> Backup-MXer eingetragen, muss ich dann das folgende schreiben:
>
> To:80.67.228.173 RELAY

Du bist niemals Backup MX für eine IP, sondern immer nur für Domains.
Du musst die Domains eintragen für die du 2. (oder 3., ...) MX bist!
Genau das macht der relay_based_on_MX Eintrag automatisch.
Allerdings ist das nicht problemlos - beispielsweise kann dich ein
Fremder als 2. MX benutzen, indem er seine Domain einfach nur
entsprechend konfiguriert.
Wenn nun ein Rechner 1.2.3.4 daherkommt und dessen Reversemapping hat
einen MX auf deinen Rechner, dann würde es mich nicht wundern, wenn
der damit auch relayen darf.
Ich kann nur dringend von diesem Feature abraten.

> Oder muss ich da dann noch ein paar andere Sachen hinzufügen oder ist
> das komplett falsch.
> Kann ich hier dann auch Hostnamen eintragen oder sind IP eher zu
> empfehlen.

Wie schon erwähnt - Domainnamen.
Wenn du 2. MX für beispiel.local bist, dann musst du auch
beispiel.local als Envelope To: zum relayen erlauben.
Subdomains sind automatisch drin, wenn du das nicht explizit
unterbindest.
IP trägst du ein, wenn jemand von dieser IP an beliebige Empfänger
senden können soll - also dich als Smarthost benutzen darf.
typischerweise für Mailclient notwendig die sich nicht zum relayen
authentifizieren.

In meinem obigen Beispiel darf die Maschine Mails an Empfänger
*@*.cicely und *@cicely.de annehmen, sowie Mails mit beliebigen
Empfängern von den IPs 10.1.1.0/24.

> Das alles kommt dann in die access rein richtig?

Ja - zumindest die richtigen Einträge.

-- 
B.Walter                   BWCT                http://www.bwct.de
bernd(at)bwct.de                                  info(at)bwct.de
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Wed 17 Nov 2004 - 00:29:32 CET

search this site