Restringindo envio entre contas locais na porta 25
Locked
Restringindo envio entre contas locais na porta 25
 
|
Olá a todos da lista.
Enquanto fazia alguns testes em uma instalação com CentOS 7.3 + postfix 2.10, vi que se eu realizasse um envio a partir de uma rede não confiável utilizando no FROM qualquer conta válida e no TO outra conta válida, pela porta 25 e sem autenticar o envio era bem sucedido, mas que não é o que eu gostaria que acontecesse, já que em meu teste qualquer usuário válido deveria se autenticar antes de enviar. Então pesquisei uma maneira de realizar essa restrição e encontrei o seguinte: - adicionar "check_sender_access hash:/etc/postfix/local_domains" a smtpd_recipient_restrictions (depois de permit_mynetworks e de permit_sasl_authenticated) - adicionar "meu.dominio.com REJECT" ao arquivo /etc/postfix/local_domains - executar "postmap /etc/postfix/local_domains" sempre que alterar esse arquivo Com isso, consegui realizar a essa restrição de envio entre contas locais na porta 25, enquanto que autenticando o envio é bem sucedido. Porém um detalhe me incomodou: ao tentar realizar o envio entre contas locais pela porta 25 sem autenticar, enquanto essa diretiva está configurada, a mensagem registrada em log é: Sender address rejected: Server configuration error; A mensagem diz que o envio não foi aceito devido a um erro de configuração no servidor, embora a ação de rejeitar é o que eu espero que aconteça. Sendo assim minha pergunta é: essa é a boa prática para realizar esse tipo de restrição? Devo ignorar a mensagem que diz que há um erro na configuração do servidor? Obrigado! _______________________________________________ Postfix-br mailing list [hidden email] http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br |
Re: Restringindo envio entre contas locais na porta 25
|
|
Olá Bruno, Será que a opção de mynetworks não esta configurada com sua rede local e habilitado o envio sem autenticação? Pode ser isso. Basicamente nas minhas configurações, uso somente o localhost para envio sem autenticação, e demais, mesmo que de servidores (DMZ) ou LAN é obrigatória a autenticação. Pode colocar a saída do main.cf aqui? 2017-01-24 17:46 GMT-02:00 Bruno de Paula Larini <[hidden email]>: Olá a todos da lista. ----- Rafael Turazzi Moreira_______________________________________________ Postfix-br mailing list [hidden email] http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br |
Re: Restringindo envio entre contas locais na porta 25
|
|
In reply to this post by Bruno de Paula Larini
Olá Rafael, obrigado pela resposta.
Com relação a políticas de envio ele já está funcionando da maneira esperada: envio sem autenticação a partir de redes conhecidas, envio autenticado obrigatório de outros lugares e negar uma entrega local caso seja feito pela porta 25 de uma rede não conhecida utilizando uma conta local como remetente. O problema era a mensagem que retornava (Server configuration error) no caso que mencionei, mas vi que o erro foi meu. Pensei que tinha executado o comando "postmap", mas não tinha. Isso parece ser necessário pois a diretiva especifica um arquivo junto a "hash:". Sendo assim, ele espera ler um arquivo com o mesmo nome mas com ".db" no final, mas ele não existia (daí a mensagem). Após executar o comando, a mensagem que retorna é mais amigável: "Sender address rejected: Access denied". Agora, o por que de ter funcionado mesmo sem o arquivo .db existir é uma boa pergunta, hehe. Obrigado! Em 24/01/2017 18:02, Rafael Turazzi escreveu: > Olá Bruno, > > Será que a opção de mynetworks não esta configurada com sua rede local e > habilitado o envio sem autenticação? Pode ser isso. > > Basicamente nas minhas configurações, uso somente o localhost para envio > sem autenticação, e demais, mesmo que de servidores (DMZ) ou LAN é > obrigatória a autenticação. > > Pode colocar a saída do main.cf aqui? > > 2017-01-24 17:46 GMT-02:00 Bruno de Paula Larini < > [hidden email]>: > >> Olá a todos da lista. >> >> Enquanto fazia alguns testes em uma instalação com CentOS 7.3 + postfix >> 2.10, vi que se eu realizasse um envio a partir de uma rede não confiável >> utilizando no FROM qualquer conta válida e no TO outra conta válida, pela >> porta 25 e sem autenticar o envio era bem sucedido, mas que não é o que eu >> gostaria que acontecesse, já que em meu teste qualquer usuário válido >> deveria se autenticar antes de enviar. >> >> Então pesquisei uma maneira de realizar essa restrição e encontrei o >> seguinte: >> - adicionar "check_sender_access hash:/etc/postfix/local_domains" a >> smtpd_recipient_restrictions (depois de permit_mynetworks e de >> permit_sasl_authenticated) >> - adicionar "meu.dominio.com REJECT" ao arquivo /etc/postfix/local_domains >> - executar "postmap /etc/postfix/local_domains" sempre que alterar esse >> arquivo >> >> Com isso, consegui realizar a essa restrição de envio entre contas locais >> na porta 25, enquanto que autenticando o envio é bem sucedido. >> Porém um detalhe me incomodou: ao tentar realizar o envio entre contas >> locais pela porta 25 sem autenticar, enquanto essa diretiva está >> configurada, a mensagem registrada em log é: Sender address rejected: >> Server configuration error; >> A mensagem diz que o envio não foi aceito devido a um erro de configuração >> no servidor, embora a ação de rejeitar é o que eu espero que aconteça. >> >> Sendo assim minha pergunta é: essa é a boa prática para realizar esse tipo >> de restrição? Devo ignorar a mensagem que diz que há um erro na >> configuração do servidor? >> >> Obrigado! >> >> >> _______________________________________________ >> Postfix-br mailing list >> [hidden email] >> http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br >> Postfix-br mailing list [hidden email] http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br |
Re: Restringindo envio entre contas locais na porta 25
|
|
Olá Bruno. Perfeito. Abraços. 2017-01-25 12:28 GMT-02:00 Bruno de Paula Larini <[hidden email]>: Olá Rafael, obrigado pela resposta. ----- Rafael Turazzi Moreira_______________________________________________ Postfix-br mailing list [hidden email] http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br |
«
Return to Postfix Brasil
|
1 view|%1 views
| Free forum by Nabble | Edit this page |