[Eisfair] mail 1.17.1: fetchmail scheitert am lokalen SMTP

Mi Jan 28 11:04:06 CET 2026

Hallo Alexander,

Alexander Dahl wrote:

>> Zudem stellt sich die Frage, ob es sinnvoll ist auf localhost eine
>> Authentifizierung zum lokalen smtp zu fordern.
> 
> Kann sinnvoll sein gegen lokale Schadsoftware, wenn nicht jedes Programm
> einfach so mails abwerfen soll.

Wenn ich recht habe, und der lokale SMTP lässt auf localhost sowieso jeden 
rein, ist das einfach nur piep egal.

Das kannst du simpel prüfen: Nimm - egal ob im alten oder neuen mail-Paket - 
in /etc/fetchmail.conf die esmtp-Auth-Zeile weg, restarte den mail service 
und schau, ob fetchmail die eingehende Mail am smtp-Server abwerfen kann.

Wenn ja, ist der smtp auf localhost anmeldefrei.

> Verstehe aber, dass es für localhost
> irgendwie unsinnig erscheint.  Der SMTP muss dann halt irgendwie
> Verbindungen auf localhost anders behandeln als Verbindungen aus dem
> lokalen Netz bzw. aus dem Internet.  Kann er das?

Wieso nicht - Prüfung siehe oben. Er weiß doch, aus welcher Quelle eine 
Verbindungsanfrage kommt, also eindeutig, ob sie vom gleichen Host oder von 
extern (andere lokale Netzgeräte oder sogar von ganz außen) kommt.

Denke mal an mariadb, da kannst du eindeutig die Zugriffsrechte auch von der 
Source-IP anhängig festlegen, was nur geht, wenn ein Dienst die Quell-IP 
sieht. Und die braucht ein Service ja auch, denn die Antwortpakete brauchen 
ja die Quell-IP als Ziel-IP der Antwortpakete.

>> Wenn der lokale smtp dies wirklich auch auf localhost erzwingen würde,
>> könnten doch beliebige Services oder Tools wie mail, mailx, sendmail, ...
>> keine Mails mehr erzeugen; eine Authentifizierung wird hier doch nie
>> gemacht.
> 
> Kommt drauf an?  sendmail ist direkt ein symlink auf exim, da wird
> vermutlich dann eh keine Netzwerkverbindung mehr aufgebaut, wenn exim
> direkt aufgerufen wird?

Ob auf der Kommandozeile das smtp-Binary oder der exim-Daemon genutzt wrd, 
sollte für das Verhalten egal sein. Wenn es hier Verhaltensunterschiede in 
Hinsicht auf Sicherheit, Authentifizierung und Co gäbe, könnte auch ein 
Angreifer schlicht auf das weniger kritische ausweichen.

Ein Angreifer, der es schon auf den Server geschafft hat, hat in der Regel 
sowieso schon alle Möglichkeiten.

>> Übrigens dürfte die Option FETCHMAIL_1_SMTPHOST='irgendwo' überhaupt
>> nicht funktiinieren, wenn die entfernte smtp-Gegenstelle (z. B. ein
>> zweiter eis mit mail-Paket) mit smtp-Anmeldung arbeitet, aber die
>> anmeldefreie localhost-Ausnahme nicht greift.
> 
> Die Option kannte ich gar nicht.  Steht bei mir aber für alle Postfächer
> auf '' aka default und dann nimmt er ja localhost.

Klar, fetchmail und smtp laufen doch auf der gleichen Maschine.

-- 
Gruß Marcus
[eisfair-Team]