Bug 17954

Summary: Berechtigungen für Mailverteiler und Mailgruppen (Übernahme in Produkt)
Product: UCS Reporter: Felix Botner <botner>
Component: MailAssignee: Felix Botner <botner>
Status: CLOSED FIXED QA Contact: Sönke Schwardt-Krummrich <schwardt>
Severity: normal    
Priority: P5 CC: gohmann
Version: UCS 2.3   
Target Milestone: UCS 2.4   
Hardware: Other   
OS: Linux   
What kind of report is it?: --- What type of bug is this?: ---
Who will be affected by this bug?: --- How will those affected feel about the bug?: ---
User Pain: Enterprise Customer affected?:
School Customer affected?: ISV affected?:
Waiting Support: Flags outvoted (downgraded) after PO Review:
Ticket number: Bug group (optional):
Max CVSS v3 score:
Bug Depends on:    
Bug Blocks: 18221, 19443    

Description Felix Botner univentionstaff 2010-03-23 13:56:50 CET 
siehe https://gorm.knut.univention.de/otrs/index.pl?Action=AgentTicketZoom&TicketID=27840

Es sollen Berechtigungen für Mailverteiler und Gruppen mit Mailadresse implementiert werden. Dies ist im Scope geschehen. Es wird ein zusätzliches Postfix Policy Skript in die "smtpd_recipient_restrictions" aufgenommen. Diese prüft die Berechtigungen für die Empfängeradresse und verweigert die Zustellung, falls der Sender nicht berechtigt ist.

Anpassungen wurden in 

   * univention-ldap (ldap Attribute für erlaubte User Gruppen
     für univentionGroup und univentionKolabGroup)
   * univention-directory-manager-modules (weiter Gruppen/Benutzer,
     die schicken dürfen, können gesetzt werden, gespeichert in LDAP
     Attr. univentionAllowedEmailGroups und
     univentionAllowedEmailUsers)
   * univention-mail-postfix-kolab2 (Ändrungen an Templates und ein
     neues Policy Skript)

gemacht.

Diese Änderungen sollen in das Produkt aufgenommen werden.
Comment 1 Stefan Gohmann univentionstaff 2010-04-22 14:01:37 CEST 
Info's siehe Ticket: 2010012910000308
Comment 2 Felix Botner univentionstaff 2010-05-10 14:41:35 CEST 
Ist in UCS 2.4 in univention-ldap, univention-directory-manager-modules und univention-ldap übernommen.

Die Berechtigungen für Gruppen und Mailinglisten können nun gesetzt werden, auf dem SMTP Server muss zusätzlich

-> ucr set mail/postfix/policy/listfilter=yes
-> /etc/init.d/postfix restart

ausgeführt werden.

Man kann das Filter Skript auch auf der Kommandozeile testen:

-> /usr/share/univention-mail-postfix-kolab2/listfilter.py -t \
   -b dc=univention,dc=qa \
   -r group@univention.qa \
   -s univention@univention.qa
action=DUNNO allowed per nested group


(-s Absender, -r Empfänger, -b LDAPBasis, -t -> Testlauf)
Comment 3 Felix Botner univentionstaff 2010-05-10 14:51:42 CEST 
Muss noch in univention-mail-postfix angepasst werden.
Comment 4 Felix Botner univentionstaff 2010-05-10 16:18:13 CEST 
Diese Erweiterung soll erstmal nur für UGS (also univention-mail-postfix-kolab2) geben. 

Zu comment#2, angepasst wurden die Pakete univention-ldap, univention-directory-manager-modules und univention-mail-postfix-kolab2.
Comment 5 Sönke Schwardt-Krummrich univentionstaff 2010-08-13 12:24:17 CEST 
* Die UCR-Variable mail/postfix/policy/listfilter sollte als Defaultwert "no" 
  enthalten und nicht leer sein.
* Typo in der UCR-Variablenbeschreibung ==> "listfiler"
Comment 6 Sönke Schwardt-Krummrich univentionstaff 2010-08-13 12:27:28 CEST 
Tests erfolgreich durchgeführt; es konnten keine Probleme festgestellt werden. Ein offenes Relay konnte nicht festgestellt werden.

Benutzer:
- root
- user1 mit Sendeerlaubnis in Testgruppe
- user2 der in okgrp Mitglied ist
- user3 (ohne spezielle Rechte)
Gruppen:
- okgrp (Mitglied ist user2)
- testgrp1
- testgrp2 mit Sende-Beschränkung auf user1 und Grp okgrp
Mailinglisten:
- ML1
- ML2 mit Sende-Beschränkung auf user1 und Grp okgrp

* listfilter per UCR deaktiviert
** lokale Zustellung von unterschiedlichen Usern an unterschiedliche lokale User 
   (testgrp1, testgrp2, User, ML1, ML2)
** lokale Zustellung von unterschiedlichen Usern an remote User
** remote Zustellung von unterschiedlichen Usern an unterschiedliche lokale User
   (testgrp1, testgrp2, User, ML1, ML2)
** remote Zustellung von unterschiedlichen Usern an remote User
** remote Zustellung von fremdem User (!= lokaler Domäne) an lokale ML/testgrp
Comment 7 Felix Botner univentionstaff 2010-08-13 13:27:16 CEST 
> Die UCR-Variable mail/postfix/policy/listfilter sollte als Defaultwert "no" 
> enthalten und nicht leer sein.

wird im postinst mit ? auf no gesetzt 

> Typo in der UCR-Variablenbeschreibung ==> "listfiler"

angepasst

Changlog Eintrag ergänzt.
Comment 8 Sönke Schwardt-Krummrich univentionstaff 2010-08-13 13:45:02 CEST 
Nachtrag: funktioniert auch mit Additional-Mail-Adresses

Verified.
Comment 9 Stefan Gohmann univentionstaff 2010-08-31 13:22:49 CEST 
UCS 2.4 wurde veröffentlicht. Sollte der hier beschriebene Bug mit einer
neueren Version von UCS erneut auftreten, so sollte der Bug dupliziert werden:
"Clone This Bug".