[postfix-es] Open relay - continuacion

Jue Mar 18 21:03:57 CET 2004

At 14:05 18/03/2004, you wrote:
>Hola lista y José Luis :)
>
>Siguiendo con el tema de open relay que estuvimos tratando en febrero
>(días 2 y 3)
>
>Si bien lo había puesto a prueba, se ve que la prueba que hice no fue
>completa y me encuentro hoy con que "reject_unauth_destination" no
>funciona como esperaba o no sé qué otra cosa estoy haciendo mal.
>
>La configuración (postconf -n) es esta:
>
>
>alias_maps = hash:/etc/aliases, hash:/etc/aliases.d/mailman
>canonical_maps = hash:/etc/postfix/canonical
>command_directory =/usr/sbin
>config_directory = /etc/postfix
>content_filter =
>daemon_directory = /usr/lib/postfix
>debug_peer_level = 2
>defer_transports =
>disable_dns_lookups = no
>mail_owner = postfix
>mail_spool_directory = /var/mail
>mailbox_delivery_lock = dotlock
>mailq_path = /usr/bin/mailq
>manpage_directory = /usr/share/man
>masquerade_classes = envelope_sender, header_sender, header_recipient
>masquerade_domains =
>masquerade_exceptions = root
>mydestination = $myhostname, localhost.$mydomain $mydomain
>mydomain = midominio.com.ar
>myhostname = namehost.midominio.com.ar
>mynetworks =
>172.x.x.0/24, 172.x2.x2.0/24, 127.0.0.0/8
>myorigin = $mydomain
>newaliases_path = /usr/sbin/sendmail
>queue_directory = /var/spool/postfix
>readme_directory = /usr/share/doc/packages/postfix/README_FILES
>relocated_maps = hash:/etc/postfix/relocated
>sample_directory = /usr/share/doc/packages/postfix/samples
>sender_canonical_maps = hash:/etc/postfix/sender_canonical
>sendmail_path = /usr/sbin/sendmail
>setgid_group = maildrop
>smtpd_banner = Servidor de correo de prueba PIRULO
>smtpd_client_restrictions = check_client_access hash:/etc/postfix/infectados

Hmmm... Si hay algún OK eres un open relay para ese cliente ...

>smtpd_recipient_restrictions = reject_non_fqdn_sender,
>reject_non_fqdn_recipient,
>check_sender_access hash:/etc/postfix/restricted_senders,

Como hay un solo "Ok" aquí, eres un open relay ....

>permit_mynetworks,
>reject_unauth_destination
>smtpd_restriction_classes = local_only
>strict_rfc821_envelopes = no
>transport_maps = hash:/etc/postfix/transport
>virtual_maps = hash:/etc/postfix/virtual
>
>
>Contenido de [restricted_senders]:
>usuario1 en midominio.com.ar        local_only
>
>Contenido de [local_destinations]:
>midominio.com.ar           reject_unauth_destination
>
>Ahora el tema es que así como está me rechaza todos los mails de
>usuario1 en midominio.com.ar aunque sean a "midominio.com.ar" pero si
>reemplazo el "reject_unauth_destination" por "OK" funciona bien pero
>según lo que me comentó José Luis no es recomendable.

Exactamente.

>Lo mismo pasa si en smtpd_recipient_restrictions levanto el
>reject_unauth_destination para que funcione antes que
>check_sender_access.

Si, eso es coherente con el funcionamiento documentado.

>Por eso es que pienso que reject_unauth_destination no está funcionando
>según lo previsto o no termino de entednerla del todo.

Hmmm... qué dice la restricción "local_only" ???
Debería ser algo así como:

local_only = check_client_access hash:/etc/postfix/local_destinations, reject

.... suponiendo que tengas resolución inversa correcta para los clientes 
que quieres que envíen....
Entiendo que los 172.x.y.0/24 son redes RFC1918, por lo que jamás van a 
encajar con midominio.com.ar  .... me podrías dar algún detalle más de cómo 
es tu topología de red y qué objetivos pretendes ?

Un saludo,
         José Luis Tallón

-
Para ENVIAR mensajes a esta lista tienes que estar SUSCRITO a ella.
.
Envía la linea "unsubscribe postfix-es" en el cuerpo de un mensaje
a majordomo en WL0.org para quitarte de la lista.