LINUX.ORG.RU
ФорумAdmin

Zimbra, запретить работать в режиме reley


0

1

Как в Zimbra запретить функцию reley или запретить оправку почты не своего домена? Нужда возникла в результате большого количества транзитной почты, сервер стоит в локальной сети с пробросом к нему необходимых портов.

гммм киньте в меня тапком если я не прав, но вродеж zimbra использует postfix , его и конопатьте на предмет relay

drac753 ★★
()

Копать в сторону postfix.

MikeDM ★★★★★
()

примерно так


В связи с использованием отложенной обработки ограничений можно поместить все ограничения доступа к почтовому серверу на этапах установки соединения, получения команд HELO/EHLO и MAIL FROM в раздел, описывающий ограничения доступа на этапе получения команды RCPT TO, оставив пустыми остальные из перечисленных разделов:

smtpd_client_restrictions =
smtpd_helo_restrictions =
smtpd_sender_restrictions =
smtpd_recipient_restrictions =
permit_mynetworks,
permit_sasl_authenticated,
reject_unauth_destination,
reject_unauth_pipelining,
check_client_access hash:/usr/local/etc/postfix/access_client,
check_client_access pcre:/usr/local/etc/postfix/access_client.pcre,
reject_unknown_client_hostname,
check_helo_access hash:/usr/local/etc/postfix/access_helo,
reject_invalid_helo_hostname,
reject_non_fqdn_helo_hostname,
reject_unknown_helo_hostname,
check_sender_access hash:/usr/local/etc/postfix/access_sender,
reject_non_fqdn_sender,
reject_unknown_sender_domain,
reject_unverified_sender,
reject_non_fqdn_recipient,
reject_unknown_recipient_domain,
reject_unverified_recipient,
reject_rbl_client cbl.abuseat.org,
reject_rbl_client combined.njabl.org,
reject_rbl_client dnsbl.njabl.org,
reject_rbl_client dul.ru,
reject_rbl_client dynablock.njabl.org,
reject_rbl_client opm.blitzed.org,
reject_rhsbl_client blackhole.securitysage.com,
reject_rhsbl_client rhsbl.sorbs.net,
reject_rhsbl_sender blackhole.securitysage.com,
reject_rhsbl_sender rhsbl.sorbs.net,
permit
Указанные ограничения доступа имеют следующие значения: permit_mynetworks - разрешить доступ из доверенных сетей, permit_sasl_authenticated - разрешить доступ клиентам, прошедшим процедуру аутентификации SMTP, reject_unauth_destination - если наш сервер является конечной точкой следования почтового сообщения (сервер может быть релеем для других доменов, но в нашем случае эта возможность не используется) запретить отправку сообщений, получатели которых находятся за пределами доменов, описанных в параметрах $mydestination, $inet_interfaces и $virtual_maps (говоря другими словами, запретить Postfix быть открытым релеем), reject_unauth_pipelining - запретить некорректное использование команд конвейерной обработки, check_client_access hash:... - проверить, разрешен ли доступ в файле, являющемся параметром данного ограничения (файл access_client имеет формат, описанный в access(5), его содержимое и рекомендации по использованию приведены ниже), check_client_access pcre:... - ограничение аналогично предыдущему за исключением того, что используется другой формат файла (файл access_client.pcre имеет формат, описанный в pcre_table(5), его содержимое приведено ниже), reject_unknown_client_hostname - запретить доступ клиентам, не зарегистрированным в DNS, check_helo_access hash:... - проверить, разрешено ли выданное клиентом приветствие в файле, являющемся параметром данного ограничения (файл имеет формат, описанный в access(5), его содержимое и рекомендации по использованию приведены ниже), reject_invalid_helo_hostname - запретить доступ, если имя хоста, содержащееся в выданном клиентом приветствии, имеет некорректный синтаксис, reject_non_fqdn_helo_hostname - запретить доступ, если имя хоста, содержащееся в выданном клиентом приветствии, не является FQDN, reject_unknown_helo_hostname - запретить доступ, если для имени хоста, содержащемся в выданном клиентом приветствии, не существует A или MX запись в DNS, check_sender_access hash:... - проверить, разрешен ли адрес отправителя сообщения в файле, являющемся параметром данного ограничения (файл имеет формат, описанный в access(5), его содержимое и рекомендации по использованию приведены ниже), reject_non_fqdn_sender - запретить доступ, если адрес отправителя сообщения имеет некорректный формат, reject_unknown_sender_domain - запретить доступ, если для имени домена адреса отправителя не существует A или MX запись в DNS, reject_unverified_sender - запретить доступ, если адрес отправителя не может быть проверен (механизм проверки описан в Postfix Address Verification Howto), reject_non_fqdn_recipient, - запретить доступ, если адрес получателя сообщения имеет некорректный формат, reject_unknown_recipient_domain - запретить доступ, если для имени домена адреса получателя не существует A или MX запись в DNS, reject_unverified_recipient, - запретить доступ, если адрес получателя не может быть проверен (механизм проверки описан в Postfix Address Verification Howto), reject_rbl_client - проверить адрес сети клиента по блэклисту, адрес которого является параметром данного ограничения, reject_rhsbl_client - проверить имя домена клиента по блэклисту, адрес которого является параметром данного ограничения, reject_rhsbl_sender - проверить имя домена, содержащееся в адресе отправителя, по блэклисту, адрес которого является параметром данного ограничения, permit - разрешить доступ. Внимание, список блэклистов, а также их использование на этапе анализа заголовков сообщений, - спорный вопрос. Я исходил из соображений экономии трафика и минимизации нагрузки на процессор сервера со стороны ПО, анализирующего текст сообщений.

drac753 ★★
()
Ответ на: комментарий от Jeckdigger

Отправил если что не понятно будет пиши на почту или тут

drac753 ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.