Wir möchten bestimmten Servern in unserem Netzwerk erlauben, E-Mails ohne Authentifizierung zu versenden. Ich weiß das check_sender_accessund beide können den Absender ( ) oder den Empfänger ( ) check_recipient_accesstesten .MAIL FROMRCPT TO
Um eine übermäßige Nutzung zu verhindern, smtp_restriction_classessuche ich nach einer Möglichkeit, eine solche Suche auf einmal durchzuführen.
# /etc/postfix/check_noauth_servers
root@bi-server [email protected]
root@bi-server [email protected]
user@reporting [email protected]
Gibt es eine Lösung oder Zugriffsbeschränkung, die eine solche Suche durchführen kann?
Antwort1
Sie scheinen zwei unabhängige Fragen zu stellen.
Der erste,
Wir möchten bestimmten Servern in unserem Netzwerk das Versenden von E-Mails ohne Authentifizierung erlauben.
Kann leicht gelöst werden, indem vor permit_sasl_authenticated ein check_client_access gesetzt wird:
smtpd_recipient_restrictions = check_client_access hash:/etc/postfix/no-auth, permit_sasl_authenticated, reject_unauth_destination
und in /etc/postfix/no-auth:
your.server.name.or.ip OK
- Im zweiten Teil der Frage scheint es jedoch gleichzeitig um Absender- und Empfängerzugriffskarten zu gehen.
Genau dafür smtpd_restriction_classesgibt es:
smtpd_restriction_classes = noauth
noauth = check_recipient_access hash:/etc/postfix/allowed_recipients
smtpd_recipient_restrictions = permit_sasl_authenticated, check_sender_access hash:/etc/postfix/allowed_senders, reject_unauth_destination
und in /etc/postfix/allowed_senders:
[email protected] noauth
[email protected] noauth
und in /etc/postfix/allowed_recipients:
[email protected] OK
[email protected] OK
In welcher Reihenfolge Sie die Zugriffskontrollen durchführen, bleibt Ihnen überlassen.
Wenn Sie komplexere Regeln benötigen (die beispielsweise Absender und Empfänger in einer Prüfung kombinieren), schauen Sie sichWeiterleiten, der Postfix FireWall Daemon.
Dies ermöglicht komplexe Regeln à la iptables, die als Richtlinienserver (check_policy_service) angewendet werden. Der Vorteil eines Richtliniendienstes besteht darin, dass er auf alle Pre-DATA-Parameter (Client, Helo, Absender, Empfänger) gleichzeitig zugreifen kann.