Postfix, разрешения «внешней» почты

Соображать нужно не здесь. в mynetworks изначально не надо было запихивать списки айпи копьютеров, это очень через жопу. И подход к задаче тоже именно с ее стороны.

Вы просто случайно определили когда-то что то, что прописано в mynetworks может фигачить что угодно и воспользовались этим.

А почему оно может фигачить куда угодно и для чего? Вы , кстати, в курсе, что скорее всего у вас оно настроено так, что эти компы могут слать письма без авторизации?

В общем, этим всем рулить надо в рестрикшенах. там ставить блоки, разрешенные списки и тд. очередность правил имеет значение. Те в вашем случае, мы сначала делаем check_access со списками ваших машин, затем разрешение на отправку на адрес, затем блокируем все остальное.

компы могут слать письма без авторизации?

ну оно так и есть. Наши компы без авторизации. Но всякие релеи извне закрыты. Так что я тут особой проблемы не вижу. Работает в таком виде уже несколько лет и все норм (тьфу х три раза). Просто потребовалось вот сделать так. что бы или на один определенный адрес, на крайняк на весь их домен, можно было отправлять всем, а не только из списков разрешенных. Ящиков довольно много (больше 500) и мне проще держать списки, кому внешка разрешена. А их меньше половины. Так что вариант текущую схему переделывать не особо подходит. Просто надо вот такую задачку решить. Я пока не могу сообразить куда именно копать. Просто начинаешь читать, а еще обычная текучка и в голове сейчас бардак. Читал, перебили, на пару часов отвлекся и мысль уже потерял. Просто может кто подобное делал или просто знает

Просто может кто подобное делал или просто знает

я знаю. это простейшая задача и я даже написал как.

Если надо разжевывать, то нужны конфиги

ну оно так и есть. Наши компы без авторизации.

Любой сотрудник компании может подделать любое внутреннее письмо от кого угодно.

Не по теме:

Любой сотрудник компании может подделать любое внутреннее письмо от кого угодно.

Но причем тут авторизация? Поясню. Когда ваш почтарь mydomain.tld принимает письмо от gmail.com адресованное email@mydomain.tld какое ему дело до авторизации пользователя gmail.com ? Его дело принять адресованное ему.

Но причем тут авторизация?

я написал «внутреннее письмо» , уборщица может разослать всем сотрудниками письмо от имени генерального директора, что все 500 человек ищут завтра в отпуск, например.

В секции (полностью ее сюда кидать не буду)

smtpd_recipient_restrictions =

в файле check_recipient_access hash:/etc/postfix/recipient_access,

добавил запись

user@domain.tld OK

Вроде все заработало, как нужно. Тему, похоже, можно считать решенной

Тему, похоже, можно считать решенной

Если не брать в расчет, что за такой почтовик надо увольнять:)

Расширим.
1. Тогда уж надо говорить о и том что помимо авторизации, почтарь должен проверять совпадение данных авторизации с заголовками самого письма. А не только об авторизации, сама по себе авторизация не спасет «от уборщицы»

2. Существует технологическое оборудование которое в авторизацию не умеет но от него надо принимать письма.

Тогда уж надо говорить о и том что помимо авторизации..

да

Существует технологическое оборудование которое в авторизацию не умеет но от него надо принимать письма.

да ( под него спец релей сервер обычно ставится, с ограничением коннекта по айпи/маку)

под него спец релей сервер обычно ставится, с ограничением коннекта по айпи/маку

Именно так. Но это тоже не надо забывать.

Именно так. Но это тоже не надо забывать.

Но это пустой разговор. У авторкрайне тяжелый случай безответственного подхода к хоть какой-то видимости безопасности. Поэтому незачем лезть даже на миллиметр глубже.

constin, если интересно пообщаться с коллегой, я тоже поддерживаю большую email платформу, свяжемся neolojka гав ya.ru

1. У постфикса есть reject_sender_login_mismatch что чекает mailfrom. Остальное мильтером или exim

Это пост капитанов что-ли?)