[postfix-es] Open relay - continuacion

Leonardo Tourn leonardo.tourn en ensi.com.ar
Jue Mar 18 23:49:51 CET 2004 

> >Hola lista y José Luis :)
> >
> >Siguiendo con el tema de open relay que estuvimos tratando 
> en febrero 
> >(días 2 y 3)
> >
> >Si bien lo había puesto a prueba, se ve que la prueba que 
> hice no fue 
> >completa y me encuentro hoy con que "reject_unauth_destination" no 
> >funciona como esperaba o no sé qué otra cosa estoy haciendo mal.
> >
> >La configuración (postconf -n) es esta:
> >
> >
> >alias_maps = hash:/etc/aliases, hash:/etc/aliases.d/mailman 
> >canonical_maps = hash:/etc/postfix/canonical command_directory 
> >=/usr/sbin config_directory = /etc/postfix
> >content_filter =
> >daemon_directory = /usr/lib/postfix
> >debug_peer_level = 2
> >defer_transports =
> >disable_dns_lookups = no
> >mail_owner = postfix
> >mail_spool_directory = /var/mail
> >mailbox_delivery_lock = dotlock
> >mailq_path = /usr/bin/mailq
> >manpage_directory = /usr/share/man
> >masquerade_classes = envelope_sender, header_sender, header_recipient
> >masquerade_domains =
> >masquerade_exceptions = root
> >mydestination = $myhostname, localhost.$mydomain $mydomain
> >mydomain = midominio.com.ar
> >myhostname = namehost.midominio.com.ar
> >mynetworks =
> >172.x.x.0/24, 172.x2.x2.0/24, 127.0.0.0/8
> >myorigin = $mydomain
> >newaliases_path = /usr/sbin/sendmail
> >queue_directory = /var/spool/postfix
> >readme_directory = /usr/share/doc/packages/postfix/README_FILES
> >relocated_maps = hash:/etc/postfix/relocated
> >sample_directory = /usr/share/doc/packages/postfix/samples
> >sender_canonical_maps = hash:/etc/postfix/sender_canonical
> >sendmail_path = /usr/sbin/sendmail
> >setgid_group = maildrop
> >smtpd_banner = Servidor de correo de prueba PIRULO
> >smtpd_client_restrictions = check_client_access 
> hash:/etc/postfix/infectados
> 
> Hmmm... Si hay algún OK eres un open relay para ese cliente ...

No en este caso solo tengo una lista de direcciones ip con un REJECT a
la derecha. No creo que esto sea problema

> 
> >smtpd_recipient_restrictions = reject_non_fqdn_sender, 
> >reject_non_fqdn_recipient, check_sender_access 
> >hash:/etc/postfix/restricted_senders,
> 
> Como hay un solo "Ok" aquí, eres un open relay ....

No entiendo, dónde hay un OK?

> 
> >permit_mynetworks,
> >reject_unauth_destination
> >smtpd_restriction_classes = local_only
> >strict_rfc821_envelopes = no
> >transport_maps = hash:/etc/postfix/transport
> >virtual_maps = hash:/etc/postfix/virtual
> >
> >
> >Contenido de [restricted_senders]:
> >usuario1 en midominio.com.ar        local_only
> >
> >Contenido de [local_destinations]:
> >midominio.com.ar           reject_unauth_destination
> >
> >Ahora el tema es que así como está me rechaza todos los mails de 
> >usuario1 en midominio.com.ar aunque sean a "midominio.com.ar" pero si 
> >reemplazo el "reject_unauth_destination" por "OK" funciona bien pero 
> >según lo que me comentó José Luis no es recomendable.
> 
> Exactamente.
> 
> >Lo mismo pasa si en smtpd_recipient_restrictions levanto el 
> >reject_unauth_destination para que funcione antes que 
> >check_sender_access.
> 
> Si, eso es coherente con el funcionamiento documentado.
> 
> >Por eso es que pienso que reject_unauth_destination no está 
> funcionando 
> >según lo previsto o no termino de entednerla del todo.
> 
> Hmmm... qué dice la restricción "local_only" ???
> Debería ser algo así como:
> 
> local_only = check_client_access 
> hash:/etc/postfix/local_destinations, reject

En realidad tengo un check_recipient_access
local_only = check_recipient_access
hash:/etc/postfix/local_destinations,
         reject

> 
> .... suponiendo que tengas resolución inversa correcta para 
> los clientes 
> que quieres que envíen....
> Entiendo que los 172.x.y.0/24 son redes RFC1918, por lo que 
> jamás van a 
> encajar con midominio.com.ar  .... me podrías dar algún 
> detalle más de cómo 
> es tu topología de red y qué objetivos pretendes ?
> 
La verdad es que no sé que es RFC1918, supongo que te referirás a redes
privadas, si es una red privada 172.16.xx.xx, está separada en varias
VLANs

Lo que pretendo es que algunos usuarios (restricted senders) solo puedan
enviar mails "locales" (según local_destinations)

Saludos y gracias

-
Para ENVIAR mensajes a esta lista tienes que estar SUSCRITO a ella.
.
Envía la linea "unsubscribe postfix-es" en el cuerpo de un mensaje
a majordomo en WL0.org para quitarte de la lista.

Más información sobre la lista de distribución Postfix-es