LINUX.ORG.RU
ФорумAdmin

Postfix открыть доступ клиентам со смартфонов

 


0

1

Каким образом можно открыть доступ клиентам, у которых динамическое имя хоста, которое не резолвится, т.е. в логе постфикса:

warning: hostname ip-address.broadband.domain.net does not resolve to address ip-address: Name or service not known

Сейчас у меня такие ограничения:

smtpd_client_restrictions =
  permit_mynetworks,
  permit_sasl_authenticated
  reject_unknown_client_hostname

smtpd_helo_restrictions =
  permit_mynetworks,
  permit_sasl_authenticated,
  reject_invalid_helo_hostname,
  reject_non_fqdn_helo_hostname
  reject_unknown_helo_hostname

smtpd_sender_restrictions =
  reject_non_fqdn_sender,
  reject_unknown_sender_domain,
  permit_mynetworks,
  permit_sasl_authenticated

smtpd_recipient_restrictions =
  reject_non_fqdn_recipient,
  reject_unknown_recipient_domain,
  permit_mynetworks,
  permit_sasl_authenticated,
  reject_unauth_destination,
  check_policy_service unix:private/policy-spf,
  reject_unlisted_recipient

Попробовал закомментарить reject_unknown_client_hostname в smtpd_client_restrictions и reject_unknown_helo_hostname в smtpd_helo_restrictions - не помогло...

mater.cf такой:

smtp      inet  n       -       y       -       -       smtpd

submission inet n       -       y       -       -       smtpd
  -o syslog_name=postfix/submission
  -o smtpd_tls_security_level=encrypt
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_enforce_tls=yes
  -o smtpd_sasl_tls_security_options=noanonymous
  -o smtpd_reject_unlisted_recipient=no
  -o smtpd_recipient_restrictions=permit_mynetworks,permit_sasl_authenticated,reject
  -o smtpd_relay_restrictions=permit_sasl_authenticated,reject
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
  -o milter_macro_daemon_name=ORIGINATING

smtps     inet  n       -       y       -       -       smtpd
  -o syslog_name=postfix/smtps
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
  -o milter_macro_daemon_name=ORIGINATING

Может можно использовать какой-то файл с белым списком доменов, которые не проверять на резолвинг, а потом postmap имя_файла?

Ответ на: комментарий от anonymous

А если так?

/etc/postfix/sender_access:
  user1@domain.com     OK

# postmap /etc/postfix/sender_access

?

gigantischer
() автор топика

Здравствуйте, я правильно понимаю, Вы хотите, чтобы пользователи смартфонов отправляли письма через Ваш smtp-сервер напрямую?

А зачем Вам это нужно, если не секрет? Что мешает им воспользоваться smtp-сервером поставщика услуг связи? При этом никто не помешает им указать свой корпоративный адрес в поле From:.

Если по каким-то причинам Вас это не устраивает, есть несколько безопасных способов решения проблемы. Первый способ - VPN в Вашу сеть. Второй способ - поднять на почтовом сервере web-интерфейс. В этом случае пользователи смартфонов смогут отправлять почту через браузер. Ну и, наконец, как выше уже посоветовали, ввести авторизацию на smtp-сервере для отправки почты.

Serge10 ★★★★★
()
Ответ на: комментарий от Serge10

так авторизация настроена, просто правилами *restrictions постфикс рубит соединения от хостов, чье имя не резолвится в тот же ip-адрес...

gigantischer
() автор топика
Ответ на: комментарий от gigantischer

При включенной sasl аутификации (и настроенной на смартфоне) это ограничение не срабатывает.

Bootmen ☆☆☆
()
Ответ на: комментарий от gigantischer

TLS + пароль. То есть, если у тебя клиент ввёл правильный логин+пароль (порт 587) - пускать письмо без всяких проверок RBL,DNS и т.д.. Так же, я настроил fail2ban, так-как ушлые боты за секунду умудряются раз десять попробовать подобрать.

DALDON ★★★★★
()
Ответ на: комментарий от gigantischer

так авторизация настроена, просто правилами *restrictions постфикс рубит соединения от хостов, чье имя не резолвится в тот же ip-адрес...

Звучит странно - по идее, после прохождения авторизации остальные ограничения не должны срабатывать. Впрочем, я по старинке sendmail использую, с postfix дело не имел...

Serge10 ★★★★★
()
Ответ на: комментарий от gigantischer

Поднимите

permit_sasl_authenticated

на первую строчку во всех рестрикшенах. И будет вам счастье.

Bootmen ☆☆☆
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.