[postfix-es] restriccion por tld

ulises gonzalez ulises en mfp.gov.cu
Jue Sep 2 15:53:12 CEST 2010 

On Thursday 02 September 2010 09:56:43 am Orestes LeaL R. wrote:
> Hola amigos, buenos dias:
>
>
> necesito que mi postfix haga lo siguiente:
>
>
>
> usuario X solo pueda enviar a *.cu
> usuario Z pueda enviar a cualquier tld o dominio.
>
>
> enn un final deseo poner varios usuarios limitados solo a .cu
> y a otros abiertos completamenet y que aplique no solo a
> correos entrantes sino salientes.
>
> nos vemos.
> LeaL



Restricciones en postfix por dominio

Version 1 -- poner solo las direcciones que seran nacionales

En main.cf

===================

# En el archivo usuarios_nac se ponen SOLO  los usuarios que NO pueden enviar 
correo internacional
# El el archivo usuarios_nac_recv se ponen SOLO los que podran NO recibir 
correos internacioneales
# En el archivo filtro_nac se definen que dominios son conciderados como 
nacionales

smtpd_restriction_classes =   nac_only
                                nac_in_only

smtpd_recipient_restrictions =  check_sender_access 
hash:/etc/postfix/usuarios_nac
                                permit_mynetworks
                                check_relay_domains
                                reject_unknown_hostname
                                reject_non_fqdn_hostname
                                reject_unknown_client

smtpd_sender_restrictions = check_recipient_access 
hash:/etc/postfix/usuarios_nac_recv
                                permit

nac_only =  check_recipient_access hash:/etc/postfix/filtro_nac
                reject
nac_in_only     =  check_sender_access hash:/etc/postfix/filtro_nac
                reject

==============================

En usuarios_nac Se ponen los usuarios que no podran enviar correos 
internacionales

=============

#usuarios limitados
paco en centos.suse.cu      nac_only

============================

En usuarios_nac_recv  Se ponen los usuarios que  no podran recibir correos 
internacionales

=====================

#usuarios limitados
paco en centos.suse.cu      nac_in_only

====================================

En filtro_nac se ponen el o los dominios que se concideran nacionales o a los 
que se les dara acceso a los usuarios limitados

=====================

#dominios permitidos
cu   OK


======================


___________________________________________________________________________

Version 2 --- Poner solo las cuentas de acceso total

En main.cf

\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\

# En el archivo usuarios_out se ponen SOLO los usuarios que pueden enviar 
correos internacionales
# En el archivo usuarios_in se ponen SOLO los que  pueden recivir correos 
internacionales
# Ambos grupos de usuarios podran recibir correos nacionales
# En el archivo filtro_nac se de finen que dominios son conciderados como 
nacionales


smtpd_recipient_restrictions =  check_sender_access 
hash:/etc/postfix/usuarios_out
                                check_recipient_access 
hash:/etc/postfix/filtro_nac
                                reject
                                
smtpd_sender_restrictions =     check_recipient_access 
hash:/etc/postfix/usuarios_in
				check_sender_access hash:/etc/postfix/filtro_nac
                                reject

\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\

En usuarios_out 

\\\\\\\\\\\\\\\\\\\

#  envian internacional
amaury en slackware.debian.cu    OK
paco en slackware.debian.cu      OK


\\\\\\\\\\\\\\\\\\\\\\\\\

En usuarios_in

\\\\\\\\\\\\\\\\\\\\\\\\\\\\\

# reciben internacional
amaury en slackware.debian.cu  OK
paco en slackware.debian.cu    OK

\\\\\\\\\\\\\\\\\\\\\\\\\\

En filtro_nac

\\\\\\\\\\\\\\\\\\\\\\\\\

#Dominios permitidos 
cu        OK

\\\\\\\\\\\\\\\\\\\\\\


Ventajas de la version 2 sobre la version 1

Usualmente en una empresa hay mas cuentas nacionales que internacionales, por 
lo que esta version facilita el trabajo del administrador

Comentarios adicionales

El archivo filtro_nac puede ser separado en dos partes, quedando asi usuarios 
que pueden recivir de un dominio, pero que no pudieran enviar a este, o 
visceversa, sois libres de imaginar cualquier version / variacion de esto.
En este archivo los dominios que se pongan tendrán concordancia para sus 
subdominios, ej cu  será valido para *.cu, si se pone prueba.cu sera valido 
para *.prueba.cu pero no para test.cu

Para que la version 1 funcione debemos asegurarnos que smtpd_delay_reject = 
yes esto se puede verificar revisando la salida de postconf, por defecto este 
parámetro esta en yes por lo que generalmente no será necesario tocarlo...

Que hacer cuando las cosas no funcionan???

Existen dos directivas de main.cf que pueden ayudar a la hora de corregir 
errores

debug_peer_level = 
debug_peer_list = 

La primera controla la cantidad de informacion que se escribe en los logs, por 
defecto esta en 2 para corregir errores de este tipo deberia ser aumentada a 
4 y la segunda especifica para que hosts o redes sera valido el aumento de 
los logs de la directiva anterior, poner aqui la red o host que se esta 
analizando o hacer igual a  $mynetworks

-- 
Salu2 
 ________________________
 Ulinx
 Administrador de redes
 Ministerio de Finanzas y Precios
 Linux user 366775
"En un problema con n ecuaciones
siempre habrá al menos n+1 incógnitas."

More information about the postfix-es mailing list