SMTP Submission mit Postfix

Was ist SMTP Submission?
Mithilfe von SMTP Submission öffnet der MTA, in unserem Fall Postfix, den zusätzlichen Port 587.
Über diesen Port ist der E-Mail Versand nur möglich, wenn der Nutzer authentifiziert hat.

Wofür wird SMTP Submission benötigt?
Einige Provider verbieten den Zugriff auf jeden SMTP-Server, außer auf den vom Provider zur Verfügung gestellten.
Solange man einen authentifizierten Zugang zu dem Provider SMTP hat kann man mit jeder beliebigen Absenderadresse E-Mails versenden, dies kann aber zu Problemen führen.
Mithilfe von SMTP Submission kann man diese Probleme umgehen da dieser Port in der Regel nicht gesperrt wird, weil hier nur ein verschlüsselter und authentifizierter Zugriff erlaubt ist.

Warum sperren manche Provider den Zugriff auf SMTP-Server?
Diese Sperren sollen das versenden von Spam über sogenannte Open-Relays verhindern, über diese Open-Relays ist das versenden von E-Mails und Spam ohne Authentifizierung möglich.

Welche Probleme können bei diesen Sperren auftreten?
Folgende Probleme können auftreten:

  • Aufgebrachte Nutzer, welche sich über nicht funktionierende Mailserver beschweren.
  • Datenschutzbedenken beim Mailversand über SMTP-Server, welche nicht zum Firmennetzwerk gehören.
  • Bei sehr restriktiven SPF Einträgen im DNS kann die Zustellung einer E-Mail, welche über einen nicht hinterlegten Server versandt wurde nicht sichergestellt werden.

Da man mithilfe von SMTP-Submission diese Sperren umgeht können die genannten Probleme auch nicht auftreten.

Konfiguration des Postfix-MTA
Die Konfiguration des Postfix ist denkbar einfach, man muss nur vier Zeilen in der /etc/postfix/master.cf auskommentieren.
Sie öffnen die master.cf und suchen folgende Zeilen:

#submission inet n - - - - smtpd
# -o smtpd_tls_security_level=encrypt
# -o smtpd_sasl_auth_enable=yes
# -o smtpd_client_restrictions=permit_sasl_authenticated,reject

dann entfernen sie die Kommentarzeichen:

submission inet n - - - - smtpd
-o smtpd_tls_security_level=encrypt
-o smtpd_sasl_auth_enable=yes
-o smtpd_client_restrictions=permit_sasl_authenticated,reject

Abschließend muss der Postfix-Daemon noch neugestartet werden:

/etc/init.d/postfix restart

Konfiguration der Mailclients
Mailclients wie Thunderbird unterstützen SMTP Submission von Haus aus, anstatt Port 25 muss für den Postausgangsserver der Port 587 eingetragen werden.
Unter dem Konfigurationsabschnitt Verbindungssicherheit muss jetzt zwingend STARTTLS ausgewählt werden.

11 thoughts on “SMTP Submission mit Postfix

  1. Falsch: Port 587 ist nur ein anderer TCP-Port statt 25 wird 587 verwendet, dieser schreibt zwar eine Authentifizierung vor, diese muss aber gar nicht verschlüsselt sein ebenso können verseuchte PCs nach wie vor Spams in die Welt setzen, auch dann wenn Port 25 vollständig gesperrt würde, da bei Submisson überhaupt keine Prüfung statt findet, von wem die Mail abgesendet wurde, es wird nur vom User selbst eine SMTP-Authentifizierung verlangt mehr nicht. Damit wird Spam vielleicht ein wenig gesenkt aber nicht verhindert. Langfristig werden sich alle Trojaner angepasst haben und den Port 587 benutzen. Gruss Tommy

    1. Danke für den Hinweis, ich habe die entsprechende Passage angepasst.
      Zumindest bei einem Postfix MTA sieht die Submission Standardkonfiguration eine TLS-Verschlüsselung vor, wie das bei anderen MTAs aussieht kann ich gerade nicht sagen.

  2. Also, auch ich hatte da Probleme mit es ist nämlich so:

    1. Mailserver zu Mailserver sprechen immer über Port 25

    2. Mailclient spricht mit Mailserver über Port 587 aber nur, um die Mail dort abzuliefern

    3. Das sperren von Port 25 wird wenn überhaupt nur in Firmen oder an Unis gemacht, um eingeschleuste mini SMTP-Server am senden von Spams zu hindern

    4. Im Internet kann man Port 25 nicht sperren, da sonst kein Mailserver mehr Mails senden könnte die Mailserver kontrollieren im übrigen nichts um sich dennoch vor Spams zu schützen kommt Greylisting wie hier beschrieben zum Einsatz

    5. Port 587 mit Auth Zwang ist historisch bedingt, da viele früher nur Port 25 benutzt haben später zwar mit Auth aber das war ja kein Zwang d.h. Trojaner können fröhnlich Spams senden und lokal auf dem PC also mit mini SMTP Server geht es sowieso sofern Port 25 nicht blockiert wurde

    6. Mit ort 587 will man Kunden und sich selbst lediglich dafür schützen, das die eigenen Mailserver missbraucht werden nicht mehr, nicht weniger

    7. Ein Mailserver kann nicht zwischen Mailclient und Mailserver unterscheiden, muss er auch nicht denn: Es werden direkte Mailzustellungen von DialUp IPs ohne hin blockiert und verworfen und der Rest eben per Port 587 SMTP Auth ergo ist es dem Server egal da er auf beiden Ports lauscht

    8. Als Admin hat man einen Vorteil: Greylisting verhindert effektiv Spams die von Mini SMTP Servern also verseuchten PCs kommen und gleichzeitig kann man davon aus gehen , das Connections per Port 587 auch wirklich real sind, also authorisiert sind

    Ihr habt also beide Recht 🙂

    Hoffe ich konnte zur Aufklärung beitragen

    LG Günter

    P.S. Stehe gern für Kritik und Fragen zur Verfügung gerichtet natürlich auch an den Betreiber dieser sehr guten Seite!

    http://www.its-franke.de

  3. Eines noch: Wenn Port 25 z.B. bei einer Firma gesperrt müssen Kunden, die auf ext. SMTP-Server ihrer Anbieter zugreifen entweder auf Port 587auseichen und wenn das nicht geht müssen Sie ein Web-Interace benutzen. Ich glaube das grösse Problem dabei ist, das im Netz viel falsches erzählt wird das z.B. Provider Port 25 blockieren usw. das ist jedoch nicht ganz richtig AOL schaltet ein SMTP-Proxy dazwischen der die Mail untersucht ist es Spam wird die Mail verworfen, andernfalls durchgelassen um es kurz ohne kompliziert zu werden zu erklären. Jedoch wird sich Port 587 für die reine Client/Server Authentifizierung ohne hin durchsetzen und Port 25 nur noch den Servern vorbehalten bleiben ergo in Zukunft gibt es eh keine Probleme mehr bis es soweit ist, wird es aber noch bissel dauern ich stelle selbst grad Systeme um 🙂
    LG Günter

      1. Ja genau und darauf wird es hinaus laufen:

        – MUA/MTA > Port 587
        – MTA/MTA > Port 25
        – Port 25 Sperre für alle DialUp IPs
        – verseuchte PCs hätten keine Chance mehr
        – Port 587 würde ohne Sperrung von Port 25 bei DialUp auch kein Sinn ergeben

        Das wird sich durchsetzen, auch bei uns daher muss ich zwei Mailserver komplett umstricken ich machs aber einfacher: Neuer Server, Qmail Toaster fertig hab ich früher alles von Hand compiliert aber mit Qmail Toaster gehts echt schneller 🙂

        Kannst ja gern ma meine Webseite besuchen die hab ich hier ja schon hinterlassen:

        http://www.its-franke.de

  4. Keine Ahnung, warum das bisher niemandem aufgefallen ist, aber es muss smtpd_client_restrictions lauten, nicht smtpd_client_restriction (da fehlt ein „s“).

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.