Звщита Postfix

0

1

Люди добрые, поможите :)

Имеется ограничение разделяющее на пользователей которым разрешена внешняя почта и запрещена. Проверяю отправителя smtpd_recipient_restrictions = check_sender_access hash:/restrictions/out_senders

Далее в зависимости от отправителя применяется то или иное действие.

Возник вопрос, а что если отправитель с внешней сети представится одним из пользователей моего домена. как защититься, от таких? а то может получится что придет письмо и отправителя примут за своего...

Ссылка

←	Падает скорость интернета на шлюзе. Исходящая до 0.

Нет записи о трафике в access.log

→

Зарезать на внешке этот домен, если он там не ожидается.

trancefer ★★
(13.04.17 13:21:18 MSK)

Ответ на: комментарий от trancefer 13.04.17 13:21:18 MSK

тоесть? как в постфиксе разделить внешний и внутренний интерфейсы?

vehpbkrby
(13.04.17 13:31:25 MSK) автор топика

ВыБирай на свой вкус:

reject_unauthenticated_sender_login_mismatch,
reject_authenticated_sender_login_mismatch,
reject_sender_login_mismatch

Суть- если не аутифицировался, то письму отлуп. Касается также узеров прошедших аутификацию, но впихивающие письмо от другого узера.

~~Bootmen~~ ☆☆☆
(13.04.17 13:42:50 MSK)

Ответ на: комментарий от vehpbkrby 13.04.17 13:31:25 MSK

Повесить на внутренний и внешний интерфейсы разные smtpd с разным набором настроек. Делается через master.cf

trancefer ★★
(13.04.17 13:55:19 MSK)
Последнее исправление: trancefer 13.04.17 13:56:49 MSK (всего исправлений: 1)

Ответ на: комментарий от Bootmen 13.04.17 13:42:50 MSK

Актуально, если из вне ожидаются клиенты, которым нужна пересылка на другие домены через почтарь. В противном случае на внешке проще всего не включать аутентификацию вовсе и тем самым блочить всех.

trancefer ★★
(13.04.17 13:59:24 MSK)

Ответ на: комментарий от trancefer 13.04.17 13:59:24 MSK

Странно как то. У меня все три правила прописаны. Никого не блочит, ни снаружи или изнутри. А вот попытки подставить чужого сендера в сообщении рубятся на корню.

~~Bootmen~~ ☆☆☆
(13.04.17 14:04:45 MSK)

Ответ на: комментарий от trancefer 13.04.17 13:55:19 MSK

trancefer А можно чуть подробнее сказать как сделать 2 независимых процесса на 2 различных интерфейса?

vehpbkrby
(13.04.17 14:06:18 MSK) автор топика

Ссылка

Ответ на: комментарий от trancefer 13.04.17 13:59:24 MSK

smtp inet n - n - - smtpd smtp_bind_address=внутренний айпи

smtp inet n - n - - smtpd smtp_bind_address=внешний айпи

Я правильно понял?

vehpbkrby
(13.04.17 14:16:10 MSK) автор топика

читаем http://www.postfix.org/SMTPD_POLICY_README.html

anonymous
(13.04.17 14:17:00 MSK)

Ответ на: комментарий от Bootmen 13.04.17 14:04:45 MSK

Это ок в вашем случае, но если например, из вне к вам никто из почтовых клиентов пользователей подключаться не должен, то в этом случае, просто во вне не отдавать возможность аутентификации. И тогда сможете получать из вне почту для своих доменов, но все попытки пройти аутентификацию будут сразу отбиваться (точнее говоря аутентификация даже не будет анонсироваться в смтп-диалоге).

trancefer ★★
(13.04.17 14:18:37 MSK)

Ответ на: комментарий от vehpbkrby 13.04.17 14:16:10 MSK

Не совсем

public_ip:smtp            inet  n       -       n       -       -       smtpd
  -o public_option1
  -o public_option2

internal_ip:smtp            inet  n       -       n       -       -       smtpd
  -o internal_option1
  -o internal_option2

После '-o' указываете специфичные опции которые перетирают настройки в main.cf, в main.cf оставляете только общие для всех.

Это пример для 25 порта, сабмиссия не учитывается, но настраивается аналогично.

trancefer ★★
(13.04.17 14:24:18 MSK)
Последнее исправление: trancefer 13.04.17 14:25:44 MSK (всего исправлений: 1)

Ответ на: комментарий от anonymous 13.04.17 14:17:00 MSK

Как минимум херовое решение, т.к. нужен отдельный Policy-сервер. Если уж так хочется фильтровать во внешнем процессе, проще прикрутить какой-нить sendmail-milter вместо policy-сервера.

trancefer ★★
(13.04.17 14:28:43 MSK)

Ссылка

Ответ на: комментарий от trancefer 13.04.17 14:18:37 MSK

Автор не предполагал полного запрета аутификации снаружи. Его волнует подмена отправителя в письме. Поэтому я предложил простое решение.

~~Bootmen~~ ☆☆☆
(13.04.17 14:37:06 MSK)

Ссылка

Ответ на: комментарий от trancefer 13.04.17 14:24:18 MSK

Огромнейшее всем спасибо!!!!!!!!!!!!

vehpbkrby
(13.04.17 14:57:10 MSK) автор топика

Ответ на: комментарий от vehpbkrby 13.04.17 14:57:10 MSK

Други, а еще такой вопрос, по хожу пьесы:

В мастере можно один и тот же рестрикшн разбить на строки?

Если у меня будет записано так:

- o smtpd_restrictions_client=blabla1

- o smtpd_restrictions_client=blabla3

- o smtpd_restrictions_client=blabla2

У меня будут все blabla отрабатывать?

vehpbkrby
(13.04.17 15:55:36 MSK) автор топика

Ответ на: комментарий от vehpbkrby 13.04.17 15:55:36 MSK

пренеси его в main и сможешь писать строчками типа так:

smtpd_recipient_restrictions = reject_unknown_recipient_domain reject_non_fqdn_recipient reject_unlisted_recipient check_client_access ${cidr}trusted-clients check_policy_service inet:127.0.0.1:7777 permit_mynetworks permit_sasl_authenticated reject_unauth_destination check_policy_service inet:127.0.0.1:2525

constin ★★★★
(20.04.17 13:29:59 MSK)