> avevo esplorato questa possibilità, ma non ero riuscito a farla
> funzionare in quanto exim prende in considerazione le ACL solo
> per i mittenti locali e nel mio caso i mittenti non sono locali
> o almeno non ero riuscito a farlo.
Qualora ti dovesse servire ancora in futuro, le acl in fase rcpt
vengono applicate a tutti i mittenti, anche quelli non locali.
Ciao
Fabio
BUGFIX: casomai servisse a qualcuno, nello snippet di conf che ho
postato la prima lsearch dev'essere eseguita sullo stesso
file /path/to/list usato dopo.
2016-09-07 9:54 GMT+02:00 Gelpi Andrea <[email protected]>:
> Il 06/09/2016 18:57, Fabio Panigatti ha scritto:
>>>
>>> Forse la domanda è border line qui, ma sto cercando di abilitare postfix
>>> a fare relay da una serie di mittenti specifici verso altrettanti mittenti
>>> specifici.
>>
>>
>> Premesso che mi sembra meglio farlo sul relay, come poi hai fatto, la
>> gestione di questa problematica e' una delle cose in cui exim
>> tipicamente eccelle. La documentazione e' esaustiva, ma astratta: non
>> troverai il tuo caso specifico, ma tutto il necessario per
>> implementarlo come configurazione del MTA senza bisogno di prodotti
>> integrativi.
>>
>> Uno dei modi per farlo potrebbe essere di usare una acl in fase rcpt
>> tipo...
>>
>> deny
>> message = sender-recipient mismatch
>> senders = lsearch;/tmp/cu.lo
>> condition = ${if
>>
>> inlisti{$local_part@$domain}{${lookup{$sender_address}lsearch{/path/to/list}}}{false}{true}}
>>
>> che legga la lista delle coppie valide dal file /path/to/list nella forma:
>>
>> [email protected]:[email protected]
>> [email protected]:[email protected]:..
>>
>> Il lookup nella condition sopra prevede gia' che ci possa essere,
>> eventualmente, piu' di un rcpt abilitato per ogni sender. Ma e' solo
>> UNO dei modi per farlo. E, soprattutto, e' solo uno snippet
>> esemplificativo da declinare nella tua configurazione specifica (es:
>> a1 e a2 devono essere gli unici sender a poter inviare posta? Devi
>> sanitizzare o gestire i tag nella local part? ecc ecc).
>>
>> Non filtrando sul relay, pero', sarebbe banale aggirare il filtro
>> inviando posta evitando di usare il MTA locale, problema che puoi
>> mitigare, se sei su linux, usando iptables per dirottare sull'exim
>> locale tutte le connessioni SMTP in uscita (tranne quelle di exim, eh
>> :-).
>>
>> Ciao
>> Fabio
>> ________________________________________________________
>> http://www.sikurezza.org - Italian Security Mailing List
>>
>
> Grazie Fabio,
> avevo esplorato questa possibilità, ma non ero riuscito a farla
> funzionare in quanto exim prende in considerazione le ACL solo per i
> mittenti locali e nel mio caso i mittenti non sono locali o almeno non ero
> riuscito a farlo.
> Mi spiego.
> Il server su cui gira exim si chiama serverx.dom1.tld
> I web server ospitati da cui partono le mail sono tutti su domini differenti
> e quindi nessun mittente è nel dominio dom1.tld.
>
> Alla fine ho risolto in questo modo:
>
> Il server può inviare mail solo al relay che è il mio server di posta.
> Questa regola è implementata sia in exim sia sul firewall esterno (porta 25
> chiusa in uscia da quel server).
>
> Sul mio server di posta usando policyd controllo in ingresso la coppia IP e
> MAIL FROM e la abbino con il RCPT TO di ogni mail ricevuta.
>
> Solo le coppie abilitate possono fare realy verso il destinatario previsto,
> tutto il resto viene rifiutato.
>
> Lato firewall il web server può usare solo la porta 80 e 443 in entrambe le
> direzioni, tutte le altre porte sono chiuse.
>
> --
> Gelpi ing. Andrea
> --------------------------------------------------------------
> It took the computing power of three C-64s to fly to the Moon.
> It takes a 486 to run Windows 95. Something is wrong here.
> --------------------------------------------------------------
> ________________________________________________________
> http://www.sikurezza.org - Italian Security Mailing List
>
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
