Frage wegen Mail

Hans-Dietrich Kirmse hd.kirmse at gmx.de
Do Feb 4 15:17:33 CET 2010


Hallo Niels,

Danke für diese schnelle Antwort,

Niels Dettenbach schrieb:

> Da gibt es gleich eine Reihe Ansätze, die "Erlaubnis" nach "außen" mailen zu 
> dürfen zu erteilen - hier nur einige, die mir einfallen:
> 
>  1.) per IP des Clients
> d.h. Du erlaubst nur bestimmten IP-Ranges das versenden nach "draußen"

ist für uns nicht relevant, weil es um die Arbeitsplätze in der Schule
geht. An denen sitzen manchmal die älteren und manchmal die jüngeren
Schüler. Ist also für dieses Problem nicht praktikabel.

> 
>  2.) per Authentifizierung
> Oft der simpelste Weg. Nur angemeldete SMTP-User dürfen den SMTP / MTA für 
> externe Ziele benutzen. Nicht per SMTP-Auth angemeldete user dürfen nur lokale 
> Domains / user anschreiben. Du gisbt also nur den Usern, die nach draußen 
> mailen wollen SMTP-Zugangsdaten. Vorteil: Dann brauchst Du in der Regel kaum 
> etwas umzukonfigurieren.

ich vergebe ja keine extra SMTP-Zugangsdaten. Der User wird angelegt,
die Zugangsdaten stehen im LDAP und auf diese wird zugegriffen, beim
Surfen (Anmeldezwang), am Samba, per Mail, ... - zudem sind wir froh,
dass wir die Passwortsyncronistation im Griff haben. das würde dem ja
entgegenstehen. - Diese Variante entfällt also auch.

>  3.) Basierend auf der Absenderdomain
> Nur Absender in einer bestimmten Domain können den MTA als Relais benutzen 
> (unsicher!).

Alle Account gehören bei uns zu einer Domain. Wie man das anders im LDAP
einrichten muss, dass wüßte ich jetzt nicht. wäre aber für mich
interessant und wenn es denn so geht - dass könnte ich umsetzen.
Wobei diese Lösung dann ein aufwendiger Hack wäre.

>  4.) Basierend auf PAM (MySQL)
> Du führst eine extra Spalte z.B. "darf_rausschreiben" in der SQL-Tabelle, 
> gegen die Dein SMTP per PAM authentifiziert ein. Nur wenn dort z.B. "1" oder 
> "true" gesetzt ist, kann sich der Versender per SMTP authentifizieren und den 
> MTA als Relay nutzen. Ohne Authentifizierung ist nur lokales mailen möglich 
> (also gem. 2.)

möglicherweise ist das ein Ansatz. Wegen Roundcube wurde als Datenbank
sqlite herangezogen. Die eigentlichen Anmeldedaten sind aber (wie schon
gesagt) im LDAP.

> 
>  5.) Basierend auf SQL
> Du addierst eine Spalte z.B. "darf_rausschreiben" zu Deinen Benutzerdaten 
> (oder legst eine extra Tabelle dafür an) und fragst beim Versand in der SMTP-
> Konfiguration, ob der Benutzer das Recht in der SQL-Tabelle gesetzt hat.

ja, so eine Variante hatte ich in der Vorstellung. Allerdings ist uns
nicht bekannt, wie und wo man das konfigurieren kann.

> Welche davon für Euch in Frage kommen, hängt wohl vom verwendeten Management-/ 
> Authentifizierungssystem (bei Dovecot MySQL?) 

nein, natürlich auch LDAP. Aber dieses Datum kann sicher in dieser
"Mini-Datenbank" mit abgelegt werden.


wie ich schon angegeben habe, ich weiss es nicht wies geht und was dann
die eigentlichen Arbeiten am Postfix angeht, das mache nicht ich,
sondern ein anders Mitglied im Team. Allerdings sehe ich noch eine
theoretische Möglichkeit, nämlich über eine Gruppe. Die würde ich im
LDAP anlegen und die Verwaltung erfolgt mit den schon vorhandenen
Instrumenten zur Gruppenverwaltung. Es müßte dann aber die
Authentification aufgebohrt werden, dass auch die Gruppe abgefragt wird.
Das wäre dann gleichbedeutend mit Autorisierung. Aber ob das mit
Postfix geht - keine Ahnung und schon gar nicht wie.

> und den Fähigkeiten des Mailservers ab.
> 
>> Ach ja, System Debian Lenny (sollte aber hier keine Rolle spielen) und
>> als Mailsystem Postfix / Dovecot (nur mit IMAP). Authentifzierung
>> erfolgt über LDAP.
> hmmm,
> ich benutze fast ausschließlich und seit "ziemlich ewig" EXIM - da könnte ich 
> helfen... Postfix war mir bisher zu "träge" (aber das ist wohl 
> Geschmacksache...).

Das System läuft ja mit Postfix, Dovecot, Roundcube, Spam- und
Virenscanner und es gibt ebenfalls eine Lösung für UUCP (wegen
winshuttle). Da wird sich am System nichts mehr ändern. Zudem bin ich
nicht verantwortlich für Mail. Allerdings habe ich eben ein besonderes
Interesse an der Lösung. Deswegen auch von mir die Nachfrage.

Mit freundlichen Grüßen
Hans-Dietrich