Ограничение прав пользователей в Sieve

Где они правят фильтры? Очевидно же, не через POP3/IMAP/SMTP и отвечает за это не postfix и не dovecot а какая-то скорее всего веб-админка, про которую ты ни слова не сказал, вот в ней и правь.

ограничь доступ к sieve, там же по отдельному порту редактирование.

Кто-то правит через роудкуб, кто-то через плагин к тандерберду, но sieve то идет как модуль к dovecot и насолько я знаю настройки все идет через конфиги кота, потому именно там я и искал что-то связанное с безопастностью или правами.

Такая мысть есть или можно вообще отключить dovecot-managesieved, но пока что это крайний случай ибо он фактически польностью блокирует работу без постоянных внесений измений в конфиг сервера. Можно конечно закрыть порт фарволом и дать доступ только с определенных ИП, но это опять же на крайний случай.

Попробуй через ACL на файлы sieve в ящиках.

Сейчас любой пользователь может сам править свои фильтры в sieve и это не подходит.

Непонятно почему «не подходит», но ладно, измените права на файлиги sieve и будет вам счастье.

или скажем он состоит в отдельной группе AD

Раздайте права +w этой группе.

или просто кинуть в меня документацией о том как сделать

man chmod;man chown;man chattr

Непонятно почему «не подходит», но ладно, измените права на файлиги sieve и будет вам счастье.

Видно хотят контролировать кто куда что пересылает. Фигово что другого пути нет, получаеться что придеться каждый раз ходить на сервер возвращать права менять настройку и потом назад.

Видно хотят контролировать кто куда что пересылает.

Ну вы какбэ хотели того, что бы пользаки не трогали это. Или я вас не понял?
Но если вам прям нужна гуйня для себя любимого, а юзерам «письку вам», то можно накостылять два инстанса. Первый для юзеров без плагинов sieve и без возможности установки плагинов. А второй для себя любимого через который будете править, только его загнать под авторизацию. Но это «в зависимости от» может оказаться так себе решением. Правда сходу другого в голову мне не приходит. Точнее приходит, но не зная что у вас? как? куда? и зачем? В качестве «универсального» только это быстро придумалось.

В конфигах dovecot у mailcow это реализовано через кастомный lua-скрипт(data/conf/dovecot/lua/passwd-verify.lua), который ходит в SQL-базу(где лежат все учетные записи) и смотрит там на нужный атрибут, разрешая или запрещая доступ к соответствующему протоколу(почтовому или sieve)

ИМХО - надо писать свой скрипт

В конфигах dovecot у mailcow это реализовано через кастомный lua-скрипт(data/conf/dovecot/lua/passwd-verify.lua)

А где можно качнуть посмотреть не подскажете, а то не смог найти. У меня нет SQL я в свое время все реализовал на файлах и запросах к AD но вдруг получиться реализовать и это.

В Mailcow файл генерируется при старте контейнера, исходники можно увидеть здесь (начиная с строки 140)