Как избежать ситуации с Postfix

0

1

Как сделать так что бы postfix из внешних сетей не указанных в mynetworks = не принимал письма с отправителями из моих доменов например от
from pupkin@mydomain.com
from ivanov@mydomain1.com

to ivanov@mydomain1.com
to pupkin@mydomain.com

Я уже запутался может.

Ссылка

←	CentOS, как правильно монтировать Windows шары

Сеть при выключенном ноутбуке

→

На быструю пока придумал
check_sender_access = /etc/file

file:
*@mydomain.com reject
*@mydomain1.com reject

и все это после permit_mynetworks

BartMan ★
(04.10.10 19:03:48 MSD) автор топика

Ссылка

Постфикс не знаю, может оно там и так удобно делается, но, если чего-то не хватит, можно сделать в mailfromd. Postfix с ним может работать.

AS ★★★★★
(04.10.10 19:13:02 MSD)

а ты уверен, что принимает? вроде не должен, хотя я давно не имел с ним дела.

посмотри http://www.checkor.com/ — там несколько тестов будут как раз на эту тему.

moot ★★★★
(04.10.10 19:21:29 MSD)

Ссылка

Ответ на: комментарий от AS 04.10.10 19:13:02 MSD

А нет не чего аля sender_address_mydomain_reject ))))???

BartMan ★
(04.10.10 19:27:56 MSD) автор топика

Ответ на: комментарий от BartMan 04.10.10 19:27:56 MSD

> А нет не чего аля sender_address_mydomain_reject ))))???

В mailfromd ? Напрямую нет (по крайней мере не было), но там конфиг, по сути, скрипт. MTA (Sendmail или Postfix - оба умеют) вызывает на каждом этапе smtp-сессии соответствующий каллбэк (по сути, функция в терминологии milter), передаёт туда набор данных и получает ответ принять/отвергнуть. Ну а там - как наскриптуешь.

AS ★★★★★
(04.10.10 19:33:02 MSD)

Ответ на: комментарий от AS 04.10.10 19:33:02 MSD

Мне кажется первое что пришло в голову самое простое, ну либо классы делать, но там опять тоже самое описывать.

BartMan ★
(04.10.10 19:40:00 MSD) автор топика

Ответ на: комментарий от BartMan 04.10.10 19:40:00 MSD

> Мне кажется первое что пришло в голову самое простое

В общем-то, если именно так хватает, то конечно.

AS ★★★★★
(04.10.10 19:54:00 MSD)

Если с милтерами работает, то milter-regex. Очень хорош.

ansky ★★★★★
(05.10.10 02:36:39 MSD)

Ссылка

Ответ на: комментарий от AS 04.10.10 19:54:00 MSD

А какие еще могут возникнуть ситуации?

BartMan ★
(05.10.10 09:46:53 MSD) автор топика

Ссылка

прикрутить/требовать аутентификацию при отправке снаружи:

...
    permit_mynetworks,
    permit_sasl_authenticated,
    reject_sender_login_mismatch,
...

cac2s ★
(05.10.10 14:22:10 MSD)

Ссылка

ИМХО, самый лучший вариант - отдельный smtpd на отдельном порту (26, например). На сетевом оборудовании нат на этот порт.

Новый smtpd определяется в /etc/postfix/master.cf, там же передать smtpd параметры (man smtpd), меняющие его поведение.

Тогда можно будет настраивать разрешения для внешней почты независимо от внутренней

router ★★★★★
(05.10.10 14:27:27 MSD)

з.ы.: если захочется [попараноить]/[есть шутники в сетке] - как вариант:

mynetworks = 127.0.0.0/8, 192.168.0.100/32, 192.168.0.254/32, 212.199.185.190/32

тогда отправка сообщений от имени другого пользователя будет разрешена только хостам, указанным в mynetworks + поменять местами последние два тригера:

...
    permit_mynetworks, 
    reject_sender_login_mismatch,
    permit_sasl_authenticated,
...
    reject_rhsbl_client rhsbl.sorbs.net,
    reject_rbl_client dnsbl.sorbs.net,
...

cac2s ★
(05.10.10 14:33:37 MSD)

Ответ на: комментарий от router 05.10.10 14:27:27 MSD

Фигасе. Это для своих пользователей можно аутентификацию сделать, а как ты предлагаешь, например, предоставить почтовый логин яндексу?

а где ты видишm reject для отправки почты в мой домен снаружи?

или ты о чём? :-/

cac2s ★
(05.10.10 14:38:27 MSD)

Ответ на: комментарий от cac2s 05.10.10 14:33:37 MSD

+ поменять местами последние два тригера

имелось ввиду reject_sender_login_mismatch и permit_sasl_authenticated, чтобы не пропускать проверку валидности логина/обратного адреса, даже если пользователь прошел аутентификацию

cac2s ★
(05.10.10 14:41:27 MSD)

Ссылка

Ответ на: комментарий от cac2s 05.10.10 14:38:27 MSD

Уже понял что ошибся и удалил комментарий

router ★★★★★
(05.10.10 14:49:57 MSD)

Ссылка

Ответ на: комментарий от cac2s 05.10.10 14:33:37 MSD

permit_mynetworks,  
    reject_sender_login_mismatch, 
    permit_sasl_authenticated,

Не понимаю зачем не это? Какая аутентификация? У меня почтовый релэй, мне всего лишь необходимо что бы внешние отправители не могли использовать mail from с моими доменами, аутентификации не какой на сервере нет, он берет списки ящиков из АД и по ним передает на exchange!

BartMan ★
(05.10.10 16:56:39 MSD) автор топика

postfix, запретить направление domain -> domian без авторизации

CFA ★
(05.10.10 17:09:41 MSD)

Ссылка

Ответ на: комментарий от BartMan 05.10.10 16:56:39 MSD

У меня почтовый релэй, мне всего лишь необходимо что бы внешние отправители не могли использовать mail from с моими доменами, аутентификации не какой на сервере нет

какой вопрос - такой и ответ. если бы уточнил сразу - непонимания не было бы ни у тебя, ни у меня

тогда действительно:

    permit_mynetworks,
    check_sender_access regexp:/etc/postfix/check_sender_access.regexp
    ...

$ cat /etc/postfix/check_sender_access.regexp
/.*@your_domain\.com/i REJECT

cac2s ★
(05.10.10 17:29:36 MSD)

Ответ на: комментарий от cac2s 05.10.10 17:29:36 MSD

Спасибо)

BartMan ★
(05.10.10 17:36:14 MSD) автор топика

Ссылка

Ответ на: комментарий от BartMan 05.10.10 16:56:39 MSD

а вообще, если валится спам снаружи с твоими mail from - советую посмотреть в сторону SPF, т.к. с таким же успехом он может сыпаться и на другие сервера

cac2s ★
(05.10.10 17:40:44 MSD)

Ответ на: комментарий от cac2s 05.10.10 17:40:44 MSD

не сыпется, но как бы предусматриваю всё и вся, spf будет, но позже)

BartMan ★
(05.10.10 18:11:05 MSD) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	CentOS, как правильно монтировать Windows шары

Admin

Сеть при выключенном ноутбуке

→

Похожие темы