smtpd_recipient_restrictions / smtpd_relay_restrictions
Alex JOST
jost+lists at dimejo.at
Mi Mai 16 09:59:41 CEST 2018
Am 15.05.2018 um 21:39 schrieb Thomas Krause:
> Guten Abend,
> ich bin gerade beim Migrieren eines sehr alten Servers.
> Beim "neuen" möchte ich die "relay/sasl Nutzer" anders
> behandeln als den Mailempfang über das Internet.
> Dabei habe ich herausgefunden, dass standardmässig zunächst
> die smtpd_relay_restrictions und anschliessend die
> smtpd_recipient_restrictions abgearbeitet werden.
Die Reihenfolge in welcher abgearbeitet wird sieht Du in der Tabelle auf
dieser Seite. 'smtpd_recipient_restrictions' kommt dabei vor
'smtpd_relay_restrictions'.
http://www.postfix.org/SMTPD_ACCESS_README.html#lists
> Das würde ich gern ändern, dass smtpd_relay_restrictions nur
> für relay/sasl-Nutzer (587/465) und smtpd_recipient_restrictions
> für eingehende Mails (25). In der master.cf habe ich konfiguriert:
'smtpd_relay_restrictions' dient der Sicherheit, damit Du Deinen Server
nicht unabsichtlich als open relay konfigurierst. Wenn Du Konfiguration
von Port 25 und Port 587 trennen willst, kannst Du einen einfachen Trick
verwenden. Du definierst in der master.cf eigene Variablen, die Du dann
in main.cf benutzt.
# master.cf
submission inet n - n - - smtpd
-o syslog_name=postfix/submission
-o smtpd_tls_security_level=encrypt
-o smtpd_sasl_auth_enable=yes
-o smtpd_recipient_restrictions=$submission_recipient_restrictions
-o smtpd_data_restrictions=$submission_data_restrictions
-o smtpd_relay_restrictions=permit_sasl_authenticated,reject
# main.cf
smtpd_recipient_restrictions =
reject_unauth_destination,
check_client_access cidr:/etc/postfix/access_client.cidr,
check_sender_access btree:/etc/postfix/access_sender,
reject_invalid_helo_hostname,
reject_non_fqdn_helo_hostname,
reject_non_fqdn_sender,
reject_non_fqdn_recipient,
reject_unknown_sender_domain,
reject_unknown_recipient_domain,
reject_unverified_recipient,
check_policy_service unix:private/policyd-spf
submission_recipient_restrictions =
check_client_access cidr:/etc/postfix/submission_access_client.cidr,
check_sender_access btree:/etc/postfix/submission_access_sender,
reject_invalid_helo_hostname,
reject_non_fqdn_sender,
reject_non_fqdn_recipient,
reject_unknown_sender_domain,
reject_unknown_recipient_domain,
reject_authenticated_sender_login_mismatch,
check_policy_service inet:127.0.0.1:10041,
permit_sasl_authenticated
> Frage: ist das sinnvoll/sicher, und: verträgt sich das mit postscreen?
Solange Du sicherstellt, dass alle Mail-Clients nicht auf Port 25
(Standard für Postscreen) einliefern sollte Dir Postscreen keine
Probleme machen.
--
Alex JOST
Mehr Informationen über die Mailingliste postfix-users