LINUX.ORG.RU
решено ФорумAdmin

Postfix, разрешения «внешней» почты

 


0

2

В свое время было сделано ограничение на отправку внешней почты через

mynetworks = /etc/postfix/networktable/network_table, /etc/postfix/networktable/dz, /etc/postfix/networktable/td

ну там для удобства у меня с десяток файлов со списками компьютеров, с которых разрешена отправка писем во внешний мир. Получается, если компьютера нет в списках, то почту можно отправлять только на внутренние почтовые ящики. Сейчас возникла необходимость на один из внешних почтовых ящиков разрешить отправлять почту всем, даже тем, кому разрешена только локальная переписка. Что-то не могу сообразить, как это прописать, что бы остальные ограничения работали как раньше.

★★★

Соображать нужно не здесь. в mynetworks изначально не надо было запихивать списки айпи копьютеров, это очень через жопу. И подход к задаче тоже именно с ее стороны.

Вы просто случайно определили когда-то что то, что прописано в mynetworks может фигачить что угодно и воспользовались этим.

А почему оно может фигачить куда угодно и для чего? Вы , кстати, в курсе, что скорее всего у вас оно настроено так, что эти компы могут слать письма без авторизации?

В общем, этим всем рулить надо в рестрикшенах. там ставить блоки, разрешенные списки и тд. очередность правил имеет значение. Те в вашем случае, мы сначала делаем check_access со списками ваших машин, затем разрешение на отправку на адрес, затем блокируем все остальное.

constin ★★★★
()
Ответ на: комментарий от constin

компы могут слать письма без авторизации?

ну оно так и есть. Наши компы без авторизации. Но всякие релеи извне закрыты. Так что я тут особой проблемы не вижу. Работает в таком виде уже несколько лет и все норм (тьфу х три раза). Просто потребовалось вот сделать так. что бы или на один определенный адрес, на крайняк на весь их домен, можно было отправлять всем, а не только из списков разрешенных. Ящиков довольно много (больше 500) и мне проще держать списки, кому внешка разрешена. А их меньше половины. Так что вариант текущую схему переделывать не особо подходит. Просто надо вот такую задачку решить. Я пока не могу сообразить куда именно копать. Просто начинаешь читать, а еще обычная текучка и в голове сейчас бардак. Читал, перебили, на пару часов отвлекся и мысль уже потерял. Просто может кто подобное делал или просто знает

deys ★★★
() автор топика
Последнее исправление: deys (всего исправлений: 1)
Ответ на: комментарий от constin

ну оно так и есть. Наши компы без авторизации.

Любой сотрудник компании может подделать любое внутреннее письмо от кого угодно.

constin ★★★★
()
Ответ на: комментарий от constin

Не по теме:

Любой сотрудник компании может подделать любое внутреннее письмо от кого угодно.

Но причем тут авторизация? Поясню. Когда ваш почтарь mydomain.tld принимает письмо от gmail.com адресованное email@mydomain.tld какое ему дело до авторизации пользователя gmail.com ? Его дело принять адресованное ему.

anc ★★★★★
()
Ответ на: комментарий от anc

Но причем тут авторизация?

я написал «внутреннее письмо» , уборщица может разослать всем сотрудниками письмо от имени генерального директора, что все 500 человек ищут завтра в отпуск, например.

constin ★★★★
()

В секции (полностью ее сюда кидать не буду)

smtpd_recipient_restrictions =

в файле check_recipient_access hash:/etc/postfix/recipient_access,

добавил запись

user@domain.tld OK

Вроде все заработало, как нужно. Тему, похоже, можно считать решенной

deys ★★★
() автор топика
Ответ на: комментарий от deys

Тему, похоже, можно считать решенной

Если не брать в расчет, что за такой почтовик надо увольнять:)

constin ★★★★
()
Ответ на: комментарий от constin

Расширим.
1. Тогда уж надо говорить о и том что помимо авторизации, почтарь должен проверять совпадение данных авторизации с заголовками самого письма. А не только об авторизации, сама по себе авторизация не спасет «от уборщицы»

2. Существует технологическое оборудование которое в авторизацию не умеет но от него надо принимать письма.

anc ★★★★★
()
Ответ на: комментарий от anc

Тогда уж надо говорить о и том что помимо авторизации..

да

Существует технологическое оборудование которое в авторизацию не умеет но от него надо принимать письма.

да ( под него спец релей сервер обычно ставится, с ограничением коннекта по айпи/маку)

constin ★★★★
()
Ответ на: комментарий от constin

под него спец релей сервер обычно ставится, с ограничением коннекта по айпи/маку

Именно так. Но это тоже не надо забывать.

anc ★★★★★
()
Ответ на: комментарий от anc

Именно так. Но это тоже не надо забывать.

Но это пустой разговор. У авторкрайне тяжелый случай безответственного подхода к хоть какой-то видимости безопасности. Поэтому незачем лезть даже на миллиметр глубже.

constin ★★★★
()
Ответ на: комментарий от constin

constin, если интересно пообщаться с коллегой, я тоже поддерживаю большую email платформу, свяжемся neolojka гав ya.ru

Den0k
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.