Zum Inhalt springen
View in the app

A better way to browse. Learn more.
Fachinformatiker.de

A full-screen app on your home screen with push notifications, badges and more.

To install this app on iOS and iPadOS
  1. Tap the Share icon in Safari
  2. Scroll the menu and tap Add to Home Screen.
  3. Tap Add in the top-right corner.
To install this app on Android
  1. Tap the 3-dot menu (⋮) in the top-right corner of the browser.
  2. Tap Add to Home screen or Install app.
  3. Confirm by tapping Install.

Postfix auf der Firewall

peetman
in Linux

Empfohlene Antworten

Veröffentlicht

Hi,

ich beschäftige mich jetzt seit einigen Tagen mit allen Links, die ich zu meinem Thread Linux lernen (speziell Postfix) erhalten habe. Ich bin auch schon eine ganze Ecke weitergekommen, aber an einem Problem hänge ich:

Das Szenario

Unser Provider, der auch unseren Mailserver betreibt, sendet alle Mail, die für unsere Firma ist, an unsere Firewall. Dort soll sie dann auf Viren überprüft werden und dann zurück auf den Mailserver geschickt werden.

Also, die mail für user@firma.de kommt vom Provider (provider.campus.de) als user@firewall.firma.de zu uns. Jetzt muss ich (besser postfix) die Adresse so ändern, dass ich die mail als user@mailserver.campus.de zum Campusserver zurückschicke. Dieser legt sie dann als user@firma.de ins Postfach, wo der user sie dann abrufen kann (per OutlookExpress).

Ich habe schon etliche Kombinationen mit aliases, canonicals (sind, glaube ich, nur für Versendeadressen), main.cf-Einstellungen probiert. Aber die mail wird immer als user@firewall.firma.de weitergeleitet und dann kommt die Meldung :

----- The following addresses had permanent fatal errors -----

<user@firma.de>

(reason: 554 <user@firewall.firma.de>: Relay access denied)

----- Transcript of session follows -----

... while talking to firewall.firma.de.:

>>> DATA

<<< 554 <user@firewall.firma.de>: Relay access denied

554 5.0.0 Service unavailable

<<< 503 Error: need RCPT command

Hat jemand eine Idee, wo der Haken liegt?

:marine-FISI-Grüße von peet

  • Autor

Ich nochmal,

also es geht doch (und scheinbar nur) mit canonical.

In die Datei muss eine Zeile rein:

@firewall.firma.de @mailserver.campus.de

Dann wird beim Erhalten der mail vom Campusserver einfach

der Domain-Teil der Adresse ausgetauscht und die mail wird weitergeleitet.

Langsam verstehe ich das System *freu*

:marine-FISI-Grüße von peet

doofe frage: habt ihr eigentlich zuviel bandbreite?

@kesm: Also normalerweise würde ich ja jetzt sagen: "Blödes Post" (von dir!) aber mit dem was du ausdrücken willst hast du IMHO recht also verkeif ich mirs mal ;)

@peetman: Weshalb wollt ihr die Mails denn zurückschicken!? Warum kein eigener Mailserver von dem die Benutzer die Mails dann direkt abholen können?

Ist mit "Firewall" wirklich eure "Internet-Firewall" über die der ganze Traffic zum Internet läuft gemeint? Wenn ja dann würde ich da auf keinen Fall einen Mail Virenscanner mit drauf machen... Denn hat ein potentieller Angreifer schneller Platt als du eine Mail schreiben kannst...

(Schönes Beispiel ist z.B. der Angriff mit gepackten "Nulldateien": Man erzeugt einfach eine Datei von sagen wir mal 8 GB Nullen (oder was auch immer für gleichen Zeichen). Ans Ende hängt man einen Virus, das ganze zippt man dann. Die Datei hat dann vielleicht noch 200 KB. Du wirst dich wundern was mit vielen Mail Virenscannern passiert wenn sie diese Datei als Anhang einer Mail empfangen *G*)

  • Autor

Hi,

ich wusste, dass so eine Frage kommt!

Also, eigentlich soll die Mail nur über die Firewall an einen Rechner im Intranet geleitet werden. Auf diesem soll dann die Mail gescannt werden und dann zurück zum Campus-Mailserver geschickt werden. Wir wollen (noch) keinen eigenen Mailserver, aber die Mail soll trotzdem gescannt werden.

Aber für die Sache an sich war es imho unerheblich, deshalb habe ich es so formuliert, wie es oben steht. Und zum probieren habe ich es erstmal auch so gemacht.

Greetz, peet

Originally posted by DownAnUp

Wenn ja dann würde ich da auf keinen Fall einen Mail Virenscanner mit drauf machen... Denn hat ein potentieller Angreifer schneller Platt als du eine Mail schreiben kannst...

Kennst du die FW-1 von CheckPoint in Zusammenhang mit z.B. dem Trendmicro Virenscanner?

Es wird sogar von den meisten Consultants (ieeehhh ;))der Richtung sogar empfohlen, beides auf den selben Rechner zu legen.

Oder wie willst du einem kleinen bis mittleren Kunden (nicht aus der IT Branche) verklickern, dass er einen zusätzlichen Rechner braucht, um die Mails zu checken, wo sich die Firewall doch langweilt?

Wenn man das ganze dann noch vernünftig aufsetzt (chroot / jail) ist das auch gar kein Problem. Ausserdem macht ein Angreifer den nur dann platt, wenn entweder simple Sicherheitslöcher bekannt sind, oder der Mail-Proxy (denn die FW-1 kann auch das) ******e konfiguriert ist.

Dann darf man aber ausnahmsweise mal den Sysadmin LARTen ;)

(nur meine Erfahrung aus der Berufswelt - bitte nicht schlagen, ich weis, dass man es auch anständig[tm]lösen kann! - Aber ich hab damit schon gaaanz obskure Sachen gesehen ...)

Archiv

Dieses Thema wurde archiviert und kann nicht mehr beantwortet werden.

Zur Themenliste gehen

Configure browser push notifications
Chrome (Android)
  1. Tap the lock icon next to the address bar.
  2. Tap Permissions → Notifications.
  3. Adjust your preference.
Chrome (Desktop)
  1. Click the padlock icon in the address bar.
  2. Select Site settings.
  3. Find Notifications and adjust your preference.