Al Bogner wrote:
Am Donnerstag, 4. Mai 2006 18:43 schrieb Sandy Drobic:
Hallo Sandy,
Bist du dir wirklich sicher, dass du weisst, was du da konfigurierst?
Nun gut, das Hauptziel wurde erreicht, wenn auch die Konfiguration nicht optimal ist.
Ich gehe vorerst auf deine anderen Antworten nicht ein, sondern erkläre mal warum es geht.
Okay.
Hauptziel ist, dass Mails nicht selbständig, wie zB im erwähnten Fall, das "Intranet" verlassen bzw. nur an vordefinierte Domains Mails versandt werden können. Mit anderen Worten, es soll ein Mißbrauch des Mailservers durch die Konfiguration verhindert werden. Theoretisch würde es auch reichen, wenn der Mailserver nur für lokale Mails zuständig ist.
Ist folgende Zusammenfassung richtig? a) interner Mailserver, interne Maildomain ohne Internet-Routing, interne User (private IP-Adressen innerhalb der Firewall) dürfen für die interne Domain ohne Einschränkung und Anmeldung mailen. b) Mails nach extern dürfen nur an bestimmte Domains geschickt werden, Einschränkungen: - evtl. sogar nur an bestimmte Emailadressen - evtl. sogar nur mit bestimmten Absenderadressen - evtl. nur von bestimmten Rechnern c) Lokale Anwendungen wie cron dürfen Emails schicken (sonstige Einschränkungen dafür, auch nach extern?)
Dieser Postfix-Mailserver soll also zB nur Mails an example1.tld und example2.tld senden, an alle _anderen_ Domains sollen _keine_ Mails versandt werden können. Ob es eine Möglichkeit gibt auch auf Email-Adressen-Ebene einzuschränken, habe ich nicht herausgefunden. Es wäre interessant zu wissen, ob man example1.tld, example2.tld, user_a@example3.tld erlauben kann, ein Versand eines Mails an user_b@example3.tld aber abgelehnt wird.
Alle die von dir angeführten Möglichkeiten gibt es. check_recipient_access hash:/etc/postfix/check_recipients /etc/postfix/check_recipients: example1.tld permit example2.tld permit user_a@example3.tld permit user_b@example3.tld reject example3.tld reject Die Priorität beim Zugriff kannst du mit "man access" unter "Email Adress Patterns" gut sehen. Je bestimmter ein Key ist, desto höher die Priorität. komplette Adressen werden zuerst ausgewertet, dann erst domains. Du könntest also mit der letzen Zeile (ich füge sie mal einfach ein) alle Recipients in example3 verbieten, sofern sie nicht explizit vorher genannt wurden. Ich baue es mal in die von dir genannte config ein (ich nenne nur die wesentlichen Teile): main.cf: inet_interfaces = 127.0.0.1 ::1 192.168.1.99 mydestination = $myhostname, localhost.$mydomain myhostname = gw.local.site # Beseitigt die Meldung vom content_filter: mynetworks = 127.0.0.1 relay_domains = example1.tld, example2.tld, example3.tld smtpd_recipient_restrictions = reject_unauth_destination, check_recipient_access hash:/etc/postfix/check_recipients, transport_maps = hash:/etc/postfix/transport check_recipient_access übernimmt dabei die Rolle von relay_recipient_maps zur Validierung. Ansonsten sollte dann noch relay_recipient_maps mit der Liste der gültigen Adressen hinterlegt werden. Wenn die User für gw.local.site in passwd/alias sind, ist local_recipient_maps IMHO bereits schon aktiv. Die in relay_domains aufgeführten domains werden dann auch zu einem externen Server oder einem Relayhost geschickt (nach domains getrennt möglich in transport)? Wenn der Server nur die intern von ihm selbst erzeugten Mails verschicken soll, ohne auf seiner IP zu lauschen, dann ist die Nullclient-Config das Richtige: http://www.postfix.org/STANDARD_CONFIGURATION_README.html#null_client Aber wenn du einen content_filter definiert hast, dann scheint das nicht ganz zuzutreffen.
Beschreibe mal genau, was du erreichen willst, und was du NICHT haben möchtest. Irgendwie habe ich das Gefühl, das da etwas nicht ganz kosher ist...
Schön, dass du dir darüber Gedanken machst.
Das ist das seltsame Gefühl, wenn man nur Teile des Bildes sieht, aber es mehrere Möglichkeiten gibt, was verdeckt sein könnte. Es lässt einem keine Ruhe. Manchmal können die verdeckten Teile leider tatsächlich einem in den Nacken fallen.(^-°) Sandy -- Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com