[postfix-users] Formulierung/Implementierung für sich widersprechende restrictions

[Christian Bricart]

Tach zusammen,

irgendwie scheine ich hier ein Brett vor dem Kopf zu haben und bitte daher
um eine Zange um die Nägel rauszuziehen ;-)

Folgende Problemstellung:

- Postfix-MX für viele Domains
- Es gibt eine Sub-Liste von Domains, für die Postfix nur von bestimmten
Absende-IPs Mails annehmen soll, dann aber ohne weitere Checks alles
annehmen:
Implementierung über eine restriction_class:

# /etc/postfix/main.cf
smtpd_restriction_classes = ipcheck
ipcheck = check_client_access cidr:/etc/postfix/ipc_sender, reject

smtpd_recipient_restrictions =
  ..
  check_recipient_access hash:/etc/postfix/ipc_recip
  ..

# /etc/postfix/ipc_recip
example.com ipcheck

# /etc/postfix/ipc_sender
10.0.0.1 OK

Jetzt soll (nach Anforderung) noch dazukommen, dass die Sender- nicht
gleich der Empfängerdomain sein darf(!) und diese Mails an einen anderen
(Sammel-)Account umgeleitet werden sollen - d.h. diese Überprüfung müsste
dann ja ein FILTER:xx oder eben diese Mailadresse liefern oder eben ein
DUNNO, wenn die Sender-Domain nicht die Empfänger-Domain war...

Also naiv nachgedacht etwa folgendes:

# /etc/postfix/main.cf
smtpd_restriction_classes = ipcheck, newcheck
..
newcheck = check_sender_access hash:/etc/postfix/new_sender

# /etc/postfix/new_sender
example.com newcheck

# /etc/postfix/new_recip
example.com sammelaccount at local


Dieser Check müsste als "check_recipient_access
hash:/etc/postfix/new_recip" in c_r_a nach dem o.g. kommen, da weiterhin
die Mails ja nur von diesen IPs eingeliefert werden dürfen. Die
"ipc_sender" muss aber doch weiterhin "OK" zurückliefern, weil sonst bei
einem DUNNO ja noch die weiteren checks gemacht würden. OK heisst aber ja,
dass eben keine weiteren Checks gemacht werden - also auch die neue
Überprüfung eben nicht...

Davor darf ich den Check auch nicht machen, da sonst die Überprüfung der
Sender-IP weg ist..

Please enlight me ;-)

Christian