Re: smtpd_recipient_restrictions / smtpd_relay_restrictions

Wed, 16 May 2018 01:09:44 -0700 

Am 15.05.2018 um 21:39 schrieb Thomas Krause:

Guten Abend,
ich bin gerade beim Migrieren eines sehr alten Servers.
Beim "neuen" möchte ich die "relay/sasl Nutzer" anders
behandeln als den Mailempfang über das Internet.
Dabei habe ich herausgefunden, dass standardmässig zunächst
die smtpd_relay_restrictions und anschliessend die
smtpd_recipient_restrictions abgearbeitet werden.



Die Reihenfolge in welcher abgearbeitet wird sieht Du in der Tabelle auf 
dieser Seite. 'smtpd_recipient_restrictions' kommt dabei vor 
'smtpd_relay_restrictions'.


  http://www.postfix.org/SMTPD_ACCESS_README.html#lists



Das würde ich gern ändern, dass smtpd_relay_restrictions nur
für relay/sasl-Nutzer (587/465) und smtpd_recipient_restrictions
für eingehende Mails (25). In der master.cf habe ich konfiguriert:



'smtpd_relay_restrictions' dient der Sicherheit, damit Du Deinen Server 
nicht unabsichtlich als open relay konfigurierst. Wenn Du Konfiguration 
von Port 25 und Port 587 trennen willst, kannst Du einen einfachen Trick 
verwenden. Du definierst in der master.cf eigene Variablen, die Du dann 
in main.cf benutzt.


# master.cf
submission inet  n       -       n       -       -       smtpd
    -o syslog_name=postfix/submission
    -o smtpd_tls_security_level=encrypt
    -o smtpd_sasl_auth_enable=yes
    -o smtpd_recipient_restrictions=$submission_recipient_restrictions
    -o smtpd_data_restrictions=$submission_data_restrictions
    -o smtpd_relay_restrictions=permit_sasl_authenticated,reject

# main.cf
smtpd_recipient_restrictions =
    reject_unauth_destination,
    check_client_access cidr:/etc/postfix/access_client.cidr,
    check_sender_access btree:/etc/postfix/access_sender,
    reject_invalid_helo_hostname,
    reject_non_fqdn_helo_hostname,
    reject_non_fqdn_sender,
    reject_non_fqdn_recipient,
    reject_unknown_sender_domain,
    reject_unknown_recipient_domain,
    reject_unverified_recipient,
    check_policy_service unix:private/policyd-spf

submission_recipient_restrictions =
    check_client_access cidr:/etc/postfix/submission_access_client.cidr,
    check_sender_access btree:/etc/postfix/submission_access_sender,
    reject_invalid_helo_hostname,
    reject_non_fqdn_sender,
    reject_non_fqdn_recipient,
    reject_unknown_sender_domain,
    reject_unknown_recipient_domain,
    reject_authenticated_sender_login_mismatch,
    check_policy_service inet:127.0.0.1:10041,
    permit_sasl_authenticated



Frage: ist das sinnvoll/sicher, und: verträgt sich das mit postscreen?



Solange Du sicherstellt, dass alle Mail-Clients nicht auf Port 25 
(Standard für Postscreen) einliefern sollte Dir Postscreen keine 
Probleme machen.


--
Alex JOST






















					Antwort per Email an