MBCDN

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Zuletzt angesehen:
postfix

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung 		Vorhergehende Überarbeitung
postfix [2025/10/18 13:36]
jango 		postfix [2025/10/22 18:54] (aktuell)
jango [Proxy-Protocol]
Zeile 114: Zeile 114:
 =====SPF===== =====SPF=====
  
-Mit dem sender policy framework [[https://de.wikipedia.org/wiki/Sender_Policy_Framework|Wikipedia]] kann man verhindern das fremde Mails im Namen des eigenen Servers senden können. Dazu muss man einen DNS Eintrag vom Typ TXT erstellen.+Mit dem [[spf|sender policy framework (SPF)]] [[https://de.wikipedia.org/wiki/Sender_Policy_Framework|Wikipedia]] kann man verhindern das fremde Mails im Namen des eigenen Servers senden können. Dazu muss man einen DNS Eintrag vom Typ TXT erstellen.
  
 <code> <code>
Zeile 149: Zeile 149:
 =====DKIM===== =====DKIM=====
  
-[[https://de.wikipedia.org/wiki/DomainKeys|DKIM]] (DomainKeys Identified Mail) ist eine Methode, die eindeutig feststellen kann, dass eine Mail von einem ganz bestimmten Mailserver gesendet wurde. Dies wird realisiert, indem auf dem eigenen Mailserver ein Schlüsselpaar generiert wird und der öffentliche Schlüssel der Domain per DNS Eintrag beigefügt wird.+[[dkim|DomainKeys Identified Mail (DKIM)]] [[https://de.wikipedia.org/wiki/DomainKeys|DKIM]] ist eine Methode, die eindeutig feststellen kann, dass eine Mail von einem ganz bestimmten Mailserver gesendet wurde. Dies wird realisiert, indem auf dem eigenen Mailserver ein Schlüsselpaar generiert wird und der öffentliche Schlüssel der Domain per DNS Eintrag beigefügt wird.
  
 ====Installation Windows==== ====Installation Windows====
Zeile 417: Zeile 417:
  
  
-=====TPROXY=====+=====Transparenz hinter Proxy=====
  
-HAProxy Backend nutzt usesrc und clientip.+====TPROXY==== 
 + 
 +Siehe [[TPROXY]]. 
 + 
 +[[HAProxy]] Backend nutzt usesrc und clientip.
  
 <code> <code>
Zeile 435: Zeile 439:
   * usesrc clientip sorgt dafür das die Client IP verwendet wird   * usesrc clientip sorgt dafür das die Client IP verwendet wird
  
-IPTables Regeln.+====Proxy-Protocol==== 
 + 
 +<box red>Postfix > 3.5</box> 
 + 
 +In main.cf folgendes eintragen damit postscreen die Originale Client IP aus dem Header extrahieren kann.
  
 <code> <code>
-iptables -t mangle -N DIVERT +smtpd_upstream_proxy_protocol = haproxy 
-iptables -t mangle -A PREROUTING -p tcp -m socket -j DIVERT +smtpd_upstream_proxy_timeout = 5s 
-iptables -t mangle -A DIVERT -j MARK --set-mark 1 +postscreen_upstream_proxy_protocol = haproxy 
-iptables -t mangle -A DIVERT -j ACCEPT+postscreen_upstream_proxy_timeout = 5s 
 +</code>
  
-iptables -t mangle -A PREROUTING -p tcp --dport 25 -j TPROXY --tproxy-mark 0x1/0x1 --on-port 25+In master.cf dem smtpd Socket die nötigen Parameter mitgeben. 
 + 
 +<code> 
 +smtp      inet  n             y                   smtpd 
 +  -o smtpd_upstream_proxy_protocol=haproxy
 </code> </code>
  
-Policy Routing.+und einen lokalen Socket auf Port 2525 für das Proxy-Protocol anlegen.
  
 <code> <code>
-ip rule add fwmark 1 lookup 100 +127.0.0.1:2525 inet n  -  n  -  -  smtpd 
-ip route add local 0.0.0.0/0 dev lo table 100+  -o smtpd_upstream_proxy_protocol=
 </code> </code>
  
-In /etc/sysctl.conf aktivieren.+=====Header Checks===== 
 + 
 +  * header_check: Wird beim Verarbeiten der Nachricht im Cleanup-Dienst angewendet – also nachdem die Nachricht empfangen wurde, aber bevor sie in die Mailqueue gelangtGilt für eingehende und ausgehende Mails, die durch Postfix verarbeitet werden – egal ob über SMTP, lokal (z. B. sendmail), oder durch Weiterleitung. 
 +  * smtp_header_check: Wird nur beim Senden über SMTP angewendet – also wenn Postfix eine Nachricht an einen anderen Mailserver übermittelt. - Nur ausgehende SMTP-Verbindungen, nicht für lokal zugestellte oder empfangene Mails. 
 + 
 +====header_check==== 
 + 
 +In main.cf
  
 <code> <code>
-echo 1 > /proc/sys/net/ipv4/ip_nonlocal_bind +# Wird beim Verarbeiten der Nachricht im Cleanup-Dienst angewendet 
-</code> +# Nachdem die Nachricht empfangen wurde, aber bevor sie in die Mailqueue gelangt. 
 +header_checks = regexp:/etc/postfix/header_checks 
 +</code>
  
-=====Proxy-Protocol=====+Wenn man Perl-Syntax will 
 + 
 +<code> 
 +header_checks pcre:/etc/postfix/header_checks 
 +</code> 
 + 
 +Regeln definieren 
 + 
 +<code> 
 +/^Subject:.*Viagra/    REJECT 
 +/^From:.*@spamdomain\.com$/    DISCARD 
 +/^Received:.*localhost/     REDIRECT spam@deinedomain.de 
 +</code> 
 + 
 +Aktionen 
 + 
 +  * REJECT: Mail wird abgelehnt. 
 +  * DISCARD: Mail wird angenommen, aber verworfen. 
 +  * REDIRECT: Mail wird an eine andere Adresse weitergeleitet. 
 +  * WARN: Nur ein Logeintrag, keine Aktion. 
 +  * PREPEND: Fügt einen Header hinzu. 
 + 
 +Optional (binary) 
 + 
 +<code> 
 +sudo postmap /etc/postfix/header_checks 
 +</code> 
 + 
 +====smtp_header_check==== 
 + 
 +In main.cf 
 + 
 +<code> 
 +# Wird nur beim Senden über SMTP angewendet. 
 +# Wenn Postfix eine Nachricht an einen anderen Mailserver übermittelt. 
 +smtp_header_checks regexp:/etc/postfix/header_checks 
 +</code> 
 + 
 +Regeln 
 + 
 +<code> 
 +/^From:/i PREPEND X-Custom-Header: MeinWert123 
 +</code> 
 + 
 +Optional binary 
 + 
 +<code> 
 +sudo postmap /etc/postfix/header_checks 
 +</code>
  
 =====Links===== =====Links=====
postfix.1760787371.txt.gz · Zuletzt geändert: 2025/10/18 13:36 von jango

Seiten-Werkzeuge

Falls nicht anders bezeichnet, ist der Inhalt dieses Wikis unter der folgenden Lizenz veröffentlicht: CC Attribution-NoDerivatives 4.0 International
CC Attribution-NoDerivatives 4.0 International Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki