LINUX.ORG.RU
ФорумAdmin

Как избежать ситуации с Postfix


0

1

Как сделать так что бы postfix из внешних сетей не указанных в mynetworks = не принимал письма с отправителями из моих доменов например от
from pupkin@mydomain.com
from ivanov@mydomain1.com

to ivanov@mydomain1.com
to pupkin@mydomain.com

Я уже запутался может.


На быструю пока придумал
check_sender_access = /etc/file

file:
*@mydomain.com reject
*@mydomain1.com reject

и все это после permit_mynetworks

BartMan ()

Постфикс не знаю, может оно там и так удобно делается, но, если чего-то не хватит, можно сделать в mailfromd. Postfix с ним может работать.

AS ★★★★★ ()

а ты уверен, что принимает? вроде не должен, хотя я давно не имел с ним дела.

посмотри http://www.checkor.com/ — там несколько тестов будут как раз на эту тему.

moot ★★★★ ()
Ответ на: комментарий от BartMan

> А нет не чего аля sender_address_mydomain_reject ))))???

В mailfromd ? Напрямую нет (по крайней мере не было), но там конфиг, по сути, скрипт. MTA (Sendmail или Postfix - оба умеют) вызывает на каждом этапе smtp-сессии соответствующий каллбэк (по сути, функция в терминологии milter), передаёт туда набор данных и получает ответ принять/отвергнуть. Ну а там - как наскриптуешь.

AS ★★★★★ ()
Ответ на: комментарий от AS

Мне кажется первое что пришло в голову самое простое, ну либо классы делать, но там опять тоже самое описывать.

BartMan ()
Ответ на: комментарий от BartMan

> Мне кажется первое что пришло в голову самое простое

В общем-то, если именно так хватает, то конечно.

AS ★★★★★ ()

Если с милтерами работает, то milter-regex. Очень хорош.

ansky ★★★★★ ()

прикрутить/требовать аутентификацию при отправке снаружи:

...
    permit_mynetworks,
    permit_sasl_authenticated,
    reject_sender_login_mismatch,
...

cac2s ()

ИМХО, самый лучший вариант - отдельный smtpd на отдельном порту (26, например). На сетевом оборудовании нат на этот порт.

Новый smtpd определяется в /etc/postfix/master.cf, там же передать smtpd параметры (man smtpd), меняющие его поведение.

Тогда можно будет настраивать разрешения для внешней почты независимо от внутренней

router ★★★★★ ()

з.ы.: если захочется [попараноить]/[есть шутники в сетке] - как вариант:

mynetworks = 127.0.0.0/8, 192.168.0.100/32, 192.168.0.254/32, 212.199.185.190/32
тогда отправка сообщений от имени другого пользователя будет разрешена только хостам, указанным в mynetworks + поменять местами последние два тригера:
...
    permit_mynetworks, 
    reject_sender_login_mismatch,
    permit_sasl_authenticated,
...
    reject_rhsbl_client rhsbl.sorbs.net,
    reject_rbl_client dnsbl.sorbs.net,
...

cac2s ()
Ответ на: комментарий от router

Фигасе. Это для своих пользователей можно аутентификацию сделать, а как ты предлагаешь, например, предоставить почтовый логин яндексу?

а где ты видишm reject для отправки почты в мой домен снаружи?

или ты о чём? :-/

cac2s ()
Ответ на: комментарий от cac2s

+ поменять местами последние два тригера

имелось ввиду reject_sender_login_mismatch и permit_sasl_authenticated, чтобы не пропускать проверку валидности логина/обратного адреса, даже если пользователь прошел аутентификацию

cac2s ()
Ответ на: комментарий от cac2s

Уже понял что ошибся и удалил комментарий

router ★★★★★ ()
Ответ на: комментарий от cac2s
permit_mynetworks,  
    reject_sender_login_mismatch, 
    permit_sasl_authenticated,

Не понимаю зачем не это? Какая аутентификация? У меня почтовый релэй, мне всего лишь необходимо что бы внешние отправители не могли использовать mail from с моими доменами, аутентификации не какой на сервере нет, он берет списки ящиков из АД и по ним передает на exchange!

BartMan ()
Ответ на: комментарий от BartMan

У меня почтовый релэй, мне всего лишь необходимо что бы внешние отправители не могли использовать mail from с моими доменами, аутентификации не какой на сервере нет

какой вопрос - такой и ответ. если бы уточнил сразу - непонимания не было бы ни у тебя, ни у меня

тогда действительно:

    permit_mynetworks,
    check_sender_access regexp:/etc/postfix/check_sender_access.regexp
    ...
$ cat /etc/postfix/check_sender_access.regexp
/.*@your_domain\.com/i REJECT

cac2s ()
Ответ на: комментарий от BartMan

а вообще, если валится спам снаружи с твоими mail from - советую посмотреть в сторону SPF, т.к. с таким же успехом он может сыпаться и на другие сервера

cac2s ()
Ответ на: комментарий от cac2s

не сыпется, но как бы предусматриваю всё и вся, spf будет, но позже)

BartMan ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.