Postfix 2.2.8

> 2 дня января

Не, ну простой текст уже перевести не может..

Кто-нибудь знает как запретить plain text авторизацию? То есть, если авторизуешься, то только через SSL\TLS.
Сорри за офтопик, не удержался.

квоты без сторонних патчей все еще не поддерживает ?

2 kenneth
а нельзя в smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination

оставить только permit_mynetworks, permit_sasl_authenticated ? а остальное все явно reject . ?

> квоты без сторонних патчей все еще не поддерживает ?

без каких таких патчей ? все работает из коробки

Какие еще квоты? На размер письма? Всегда на моей памяти все работало из коробки.

я имею ввиду индивидуальные квоты для юзеров .

мне пришлось патчить(VDA patch) постфикс чтоб это заработало .

видать пока еще нет этого .

Это приведет к тому, что другие MTA не смогут посылать мне письма для моего домена.
Проблема в том как sasl_authenticated работает. Удаленные клиенты могут настроить его через plain и тогда пол мира будет читать их почту, но они об этом не узнают. Хотелось бы избежать этой ситуации.

Если паранойя замучала, то оставьте в SASL только один механизм GSSAPI.
Может полегчает, если только разъяренные пользователи раньше времени не линчуют.

2 kenneth: smtp_sasl_security_options = noplaintext

Эта опция предназначена для Postfix работающего в роли SMTP клиента. Она и так по-умолчанию npoplaintext.

>я имею ввиду индивидуальные квоты для юзеров .

>мне пришлось патчить(VDA patch) постфикс чтоб это заработало .

>видать пока еще нет этого .

И не будет никогда в Postfix-е. Если хотите юзать per-user-mailbox квоты, то используйте другие (альтернативные) DA (maildrop, dovecot-lda, etc...)

>Кто-нибудь знает как запретить plain text авторизацию? То есть, если авторизуешься, то только через SSL\TLS.

# When TLS encryption is optional in the Postfix SMTP server,
# do not announce or accept SASL authentication over unencrypted connections.
#
smtpd_tls_auth_only = yes


Когда приходит клиент через SMTP ему не выдается что доступно SMTP AUTH
Когда приходит клиент через SMTP over TLS/SSL - ему выдается что доступно SMTP AUTH

Имеется ввиду SASL перекомпилировать? Подумаю, может и получится. Только это извращение.
Насчет паранои вы зря. Есть конкретная задача, дать возможность удаленным пользователям работать. Но ноуты настраивать не они будут, а недоадмины. Я таких повидал уже. И эти успокоятся, как только все заработает, а plaintext проще настроить, чем SSL/TLS. С сертификатами мучиться не нужно.

Только еще нужно в smtpd_recipient_restrictions в правильно порядке разрешения/запрещения расставить

2kenneth

plaint text авторизация она ведь открытым текстом идет - соответственно никакой защиты нет.

Настроить сертификат у клиента - это ничуть не сложнее чем настроить собственно account к почте. Outlook, Outlook Express, все программы которые используют Microsoft Crypto API - достаточно добавить через mmc сертификат CA на компьютер, чтобы все пользователи данного компьютера получили сертификат. Mozilla, Firefox, The bat, другие - сертификаты добавляются просто.

Вы не обижайтесь, паранойя - это профессиональная болезнь всех системных администраторов.
Кстати, помимо решения предложенного odip можно ещё вот так сделать:
smtpd_sasl_security_options=noplaintext,noanonymous
smtpd_sasl_tls_security_options=noanonymous
Т.е. по нешифрованному каналу Postfix не будет объявлять PLAIN как поддерживаемый метод аутентификации, а через шифрованный канал PLAIN уже будет доступен.

> квоты без сторонних патчей все еще не поддерживает ?

А что, их поломали? Я его года 3 назад в последний раз видел и квоты тогда поддерживались. Причём как на отдельные ящики, так и на домены.

>Вы не обижайтесь, паранойя - это профессиональная болезнь всех системных администраторов.

Если вы параноик, это не значит что за вами не следят ;)

>Кстати, помимо решения предложенного odip можно ещё вот так сделать:
>smtpd_sasl_security_options=noplaintext,noanonymous
>smtpd_sasl_tls_security_options=noanonymous
>Т.е. по нешифрованному каналу Postfix не будет объявлять PLAIN как поддерживаемый метод аутентификации, а через шифрованный канал PLAIN уже будет доступен.

Угум, только приведи please примеры почтовых клиентов, которые умеют noplaintext SMTP AUTH делать ?
Outlook, Outlook Express, Mozilla Mail - никто не умеет.
А вот SMTP AUTH over SSL - все они умеют - через методы PLAIN или LOGIN.

Thunderbird 1.5rc1 и Pine умеют GSSAPI по SMTP и IMAP. Mutt только для IMAP. CRAM-MD5 более или менее много клиентов умеет.