smtpd_recipient_restrictions / smtpd_relay_restrictions

Next Topic
 
classic Classic list List threaded Threaded
3 messages Options
Reply | Threaded
Open this post in threaded view
|

smtpd_recipient_restrictions / smtpd_relay_restrictions

Thomas Krause
Guten Abend,
ich bin gerade beim Migrieren eines sehr alten Servers.
Beim "neuen" möchte ich die "relay/sasl Nutzer" anders
behandeln als den Mailempfang über das Internet.
Dabei habe ich herausgefunden, dass standardmässig zunächst
die smtpd_relay_restrictions und anschliessend die
smtpd_recipient_restrictions abgearbeitet werden.
Das würde ich gern ändern, dass smtpd_relay_restrictions nur
für relay/sasl-Nutzer (587/465) und smtpd_recipient_restrictions
für eingehende Mails (25). In der master.cf habe ich konfiguriert:

smtp      inet  n       -       y       -       1       postscreen

smtpd     pass  -       -       y       -       -       smtpd
   ...
   -o smtpd_relay_restrictions=

dnsblog   unix  -       -       y       -       0       dnsblog
tlsproxy  unix  -       -       y       -       0       tlsproxy

submission inet n       -       y       -       -       smtpd
   ...
   -o smtpd_recipient_restrictions=

smtps     inet  n       -       y       -       -       smtpd
   ...
   -o smtpd_recipient_restrictions=

und in der main.cf
smtpd_relay_restrictions =
   reject_unlisted_sender
   # postfwd
   check_policy_service { inet:127.0.0.1:10041, default_action=DUNNO }
   permit_sasl_authenticated
   defer_unauth_destination

smtpd_recipient_restrictions =
  reject_unauth_destination
  reject_unknown_recipient_domain
  check_policy_service { unix:private/policyd-spf, default_action=DUNNO }

Frage: ist das sinnvoll/sicher, und: verträgt sich das mit postscreen?
Danke u. Grüße,
Thomas.


Reply | Threaded
Open this post in threaded view
|

Re: smtpd_recipient_restrictions / smtpd_relay_restrictions

Alex JOST
Am 15.05.2018 um 21:39 schrieb Thomas Krause:
> Guten Abend,
> ich bin gerade beim Migrieren eines sehr alten Servers.
> Beim "neuen" möchte ich die "relay/sasl Nutzer" anders
> behandeln als den Mailempfang über das Internet.
> Dabei habe ich herausgefunden, dass standardmässig zunächst
> die smtpd_relay_restrictions und anschliessend die
> smtpd_recipient_restrictions abgearbeitet werden.

Die Reihenfolge in welcher abgearbeitet wird sieht Du in der Tabelle auf
dieser Seite. 'smtpd_recipient_restrictions' kommt dabei vor
'smtpd_relay_restrictions'.

   http://www.postfix.org/SMTPD_ACCESS_README.html#lists


> Das würde ich gern ändern, dass smtpd_relay_restrictions nur
> für relay/sasl-Nutzer (587/465) und smtpd_recipient_restrictions
> für eingehende Mails (25). In der master.cf habe ich konfiguriert:

'smtpd_relay_restrictions' dient der Sicherheit, damit Du Deinen Server
nicht unabsichtlich als open relay konfigurierst. Wenn Du Konfiguration
von Port 25 und Port 587 trennen willst, kannst Du einen einfachen Trick
verwenden. Du definierst in der master.cf eigene Variablen, die Du dann
in main.cf benutzt.

# master.cf
submission inet  n       -       n       -       -       smtpd
     -o syslog_name=postfix/submission
     -o smtpd_tls_security_level=encrypt
     -o smtpd_sasl_auth_enable=yes
     -o smtpd_recipient_restrictions=$submission_recipient_restrictions
     -o smtpd_data_restrictions=$submission_data_restrictions
     -o smtpd_relay_restrictions=permit_sasl_authenticated,reject

# main.cf
smtpd_recipient_restrictions =
     reject_unauth_destination,
     check_client_access cidr:/etc/postfix/access_client.cidr,
     check_sender_access btree:/etc/postfix/access_sender,
     reject_invalid_helo_hostname,
     reject_non_fqdn_helo_hostname,
     reject_non_fqdn_sender,
     reject_non_fqdn_recipient,
     reject_unknown_sender_domain,
     reject_unknown_recipient_domain,
     reject_unverified_recipient,
     check_policy_service unix:private/policyd-spf

submission_recipient_restrictions =
     check_client_access cidr:/etc/postfix/submission_access_client.cidr,
     check_sender_access btree:/etc/postfix/submission_access_sender,
     reject_invalid_helo_hostname,
     reject_non_fqdn_sender,
     reject_non_fqdn_recipient,
     reject_unknown_sender_domain,
     reject_unknown_recipient_domain,
     reject_authenticated_sender_login_mismatch,
     check_policy_service inet:127.0.0.1:10041,
     permit_sasl_authenticated


> Frage: ist das sinnvoll/sicher, und: verträgt sich das mit postscreen?

Solange Du sicherstellt, dass alle Mail-Clients nicht auf Port 25
(Standard für Postscreen) einliefern sollte Dir Postscreen keine
Probleme machen.

--
Alex JOST
Reply | Threaded
Open this post in threaded view
|

Re: smtpd_recipient_restrictions / smtpd_relay_restrictions

Alex JOST
Am 16.05.2018 um 09:59 schrieb Alex JOST:

> Am 15.05.2018 um 21:39 schrieb Thomas Krause:
>> Guten Abend,
>> ich bin gerade beim Migrieren eines sehr alten Servers.
>> Beim "neuen" möchte ich die "relay/sasl Nutzer" anders
>> behandeln als den Mailempfang über das Internet.
>> Dabei habe ich herausgefunden, dass standardmässig zunächst
>> die smtpd_relay_restrictions und anschliessend die
>> smtpd_recipient_restrictions abgearbeitet werden.
>
> Die Reihenfolge in welcher abgearbeitet wird sieht Du in der Tabelle auf
> dieser Seite. 'smtpd_recipient_restrictions' kommt dabei vor
> 'smtpd_relay_restrictions'.
>
>    http://www.postfix.org/SMTPD_ACCESS_README.html#lists

Sorry, das war Blödsinn. Hier steht nochmal explizit, dass
'smtpd_relay_restrictions' vor 'smtpd_recipient_restrictions' ausgeführt
wird.

   http://www.postfix.org/postconf.5.html#smtpd_relay_restrictions

--
Alex JOST