Il 06/09/2016 18:57, Fabio Panigatti ha scritto:
Forse la domanda è border line qui, ma sto cercando di abilitare postfix a fare
relay da una serie di mittenti specifici verso altrettanti mittenti specifici.
Premesso che mi sembra meglio farlo sul relay, come poi hai fatto, la
gestione di questa problematica e' una delle cose in cui exim
tipicamente eccelle. La documentazione e' esaustiva, ma astratta: non
troverai il tuo caso specifico, ma tutto il necessario per
implementarlo come configurazione del MTA senza bisogno di prodotti
integrativi.
Uno dei modi per farlo potrebbe essere di usare una acl in fase rcpt tipo...
deny
message = sender-recipient mismatch
senders = lsearch;/tmp/cu.lo
condition = ${if
inlisti{$local_part@$domain}{${lookup{$sender_address}lsearch{/path/to/list}}}{false}{true}}
che legga la lista delle coppie valide dal file /path/to/list nella forma:
[email protected]:[email protected]
[email protected]:[email protected]:..
Il lookup nella condition sopra prevede gia' che ci possa essere,
eventualmente, piu' di un rcpt abilitato per ogni sender. Ma e' solo
UNO dei modi per farlo. E, soprattutto, e' solo uno snippet
esemplificativo da declinare nella tua configurazione specifica (es:
a1 e a2 devono essere gli unici sender a poter inviare posta? Devi
sanitizzare o gestire i tag nella local part? ecc ecc).
Non filtrando sul relay, pero', sarebbe banale aggirare il filtro
inviando posta evitando di usare il MTA locale, problema che puoi
mitigare, se sei su linux, usando iptables per dirottare sull'exim
locale tutte le connessioni SMTP in uscita (tranne quelle di exim, eh
:-).
Ciao
Fabio
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Grazie Fabio,
avevo esplorato questa possibilità, ma non ero riuscito a farla
funzionare in quanto exim prende in considerazione le ACL solo per i
mittenti locali e nel mio caso i mittenti non sono locali o almeno non
ero riuscito a farlo.
Mi spiego.
Il server su cui gira exim si chiama serverx.dom1.tld
I web server ospitati da cui partono le mail sono tutti su domini
differenti e quindi nessun mittente è nel dominio dom1.tld.
Alla fine ho risolto in questo modo:
Il server può inviare mail solo al relay che è il mio server di posta.
Questa regola è implementata sia in exim sia sul firewall esterno (porta
25 chiusa in uscia da quel server).
Sul mio server di posta usando policyd controllo in ingresso la coppia
IP e MAIL FROM e la abbino con il RCPT TO di ogni mail ricevuta.
Solo le coppie abilitate possono fare realy verso il destinatario
previsto, tutto il resto viene rifiutato.
Lato firewall il web server può usare solo la porta 80 e 443 in entrambe
le direzioni, tutte le altre porte sono chiuse.
--
Gelpi ing. Andrea
--------------------------------------------------------------
It took the computing power of three C-64s to fly to the Moon.
It takes a 486 to run Windows 95. Something is wrong here.
--------------------------------------------------------------
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
