smtpd_recipient_restrictions / smtpd_relay_restrictions
Guten Abend, ich bin gerade beim Migrieren eines sehr alten Servers. Beim "neuen" möchte ich die "relay/sasl Nutzer" anders behandeln als den Mailempfang über das Internet. Dabei habe ich herausgefunden, dass standardmässig zunächst die smtpd_relay_restrictions und anschliessend die smtpd_recipient_restrictions abgearbeitet werden. Das würde ich gern ändern, dass smtpd_relay_restrictions nur für relay/sasl-Nutzer (587/465) und smtpd_recipient_restrictions für eingehende Mails (25). In der master.cf habe ich konfiguriert:
smtp inet n - y - 1 postscreen
smtpd pass - - y - - smtpd ... -o smtpd_relay_restrictions=
dnsblog unix - - y - 0 dnsblog tlsproxy unix - - y - 0 tlsproxy
submission inet n - y - - smtpd ... -o smtpd_recipient_restrictions=
smtps inet n - y - - smtpd ... -o smtpd_recipient_restrictions=
und in der main.cf smtpd_relay_restrictions = reject_unlisted_sender # postfwd check_policy_service { inet:127.0.0.1:10041, default_action=DUNNO } permit_sasl_authenticated defer_unauth_destination
smtpd_recipient_restrictions = reject_unauth_destination reject_unknown_recipient_domain check_policy_service { unix:private/policyd-spf, default_action=DUNNO }
Frage: ist das sinnvoll/sicher, und: verträgt sich das mit postscreen? Danke u. Grüße, Thomas.
Am 15.05.2018 um 21:39 schrieb Thomas Krause:
Guten Abend, ich bin gerade beim Migrieren eines sehr alten Servers. Beim "neuen" möchte ich die "relay/sasl Nutzer" anders behandeln als den Mailempfang über das Internet. Dabei habe ich herausgefunden, dass standardmässig zunächst die smtpd_relay_restrictions und anschliessend die smtpd_recipient_restrictions abgearbeitet werden.
Die Reihenfolge in welcher abgearbeitet wird sieht Du in der Tabelle auf dieser Seite. 'smtpd_recipient_restrictions' kommt dabei vor 'smtpd_relay_restrictions'.
http://www.postfix.org/SMTPD_ACCESS_README.html#lists
Das würde ich gern ändern, dass smtpd_relay_restrictions nur für relay/sasl-Nutzer (587/465) und smtpd_recipient_restrictions für eingehende Mails (25). In der master.cf habe ich konfiguriert:
'smtpd_relay_restrictions' dient der Sicherheit, damit Du Deinen Server nicht unabsichtlich als open relay konfigurierst. Wenn Du Konfiguration von Port 25 und Port 587 trennen willst, kannst Du einen einfachen Trick verwenden. Du definierst in der master.cf eigene Variablen, die Du dann in main.cf benutzt.
# master.cf submission inet n - n - - smtpd -o syslog_name=postfix/submission -o smtpd_tls_security_level=encrypt -o smtpd_sasl_auth_enable=yes -o smtpd_recipient_restrictions=$submission_recipient_restrictions -o smtpd_data_restrictions=$submission_data_restrictions -o smtpd_relay_restrictions=permit_sasl_authenticated,reject
# main.cf smtpd_recipient_restrictions = reject_unauth_destination, check_client_access cidr:/etc/postfix/access_client.cidr, check_sender_access btree:/etc/postfix/access_sender, reject_invalid_helo_hostname, reject_non_fqdn_helo_hostname, reject_non_fqdn_sender, reject_non_fqdn_recipient, reject_unknown_sender_domain, reject_unknown_recipient_domain, reject_unverified_recipient, check_policy_service unix:private/policyd-spf
submission_recipient_restrictions = check_client_access cidr:/etc/postfix/submission_access_client.cidr, check_sender_access btree:/etc/postfix/submission_access_sender, reject_invalid_helo_hostname, reject_non_fqdn_sender, reject_non_fqdn_recipient, reject_unknown_sender_domain, reject_unknown_recipient_domain, reject_authenticated_sender_login_mismatch, check_policy_service inet:127.0.0.1:10041, permit_sasl_authenticated
Frage: ist das sinnvoll/sicher, und: verträgt sich das mit postscreen?
Solange Du sicherstellt, dass alle Mail-Clients nicht auf Port 25 (Standard für Postscreen) einliefern sollte Dir Postscreen keine Probleme machen.
Am 16.05.2018 um 09:59 schrieb Alex JOST:
Am 15.05.2018 um 21:39 schrieb Thomas Krause:
Guten Abend, ich bin gerade beim Migrieren eines sehr alten Servers. Beim "neuen" möchte ich die "relay/sasl Nutzer" anders behandeln als den Mailempfang über das Internet. Dabei habe ich herausgefunden, dass standardmässig zunächst die smtpd_relay_restrictions und anschliessend die smtpd_recipient_restrictions abgearbeitet werden.
Die Reihenfolge in welcher abgearbeitet wird sieht Du in der Tabelle auf dieser Seite. 'smtpd_recipient_restrictions' kommt dabei vor 'smtpd_relay_restrictions'.
Sorry, das war Blödsinn. Hier steht nochmal explizit, dass 'smtpd_relay_restrictions' vor 'smtpd_recipient_restrictions' ausgeführt wird.
http://www.postfix.org/postconf.5.html#smtpd_relay_restrictions
participants (2)
-
Alex JOST -
Thomas Krause