smtpd_recipient_restrictions / smtpd_relay_restrictions

Alex JOST jost+lists at dimejo.at
Mi Mai 16 09:59:41 CEST 2018


Am 15.05.2018 um 21:39 schrieb Thomas Krause:
> Guten Abend,
> ich bin gerade beim Migrieren eines sehr alten Servers.
> Beim "neuen" möchte ich die "relay/sasl Nutzer" anders
> behandeln als den Mailempfang über das Internet.
> Dabei habe ich herausgefunden, dass standardmässig zunächst
> die smtpd_relay_restrictions und anschliessend die
> smtpd_recipient_restrictions abgearbeitet werden.

Die Reihenfolge in welcher abgearbeitet wird sieht Du in der Tabelle auf 
dieser Seite. 'smtpd_recipient_restrictions' kommt dabei vor 
'smtpd_relay_restrictions'.

   http://www.postfix.org/SMTPD_ACCESS_README.html#lists


> Das würde ich gern ändern, dass smtpd_relay_restrictions nur
> für relay/sasl-Nutzer (587/465) und smtpd_recipient_restrictions
> für eingehende Mails (25). In der master.cf habe ich konfiguriert:

'smtpd_relay_restrictions' dient der Sicherheit, damit Du Deinen Server 
nicht unabsichtlich als open relay konfigurierst. Wenn Du Konfiguration 
von Port 25 und Port 587 trennen willst, kannst Du einen einfachen Trick 
verwenden. Du definierst in der master.cf eigene Variablen, die Du dann 
in main.cf benutzt.

# master.cf
submission inet  n       -       n       -       -       smtpd
     -o syslog_name=postfix/submission
     -o smtpd_tls_security_level=encrypt
     -o smtpd_sasl_auth_enable=yes
     -o smtpd_recipient_restrictions=$submission_recipient_restrictions
     -o smtpd_data_restrictions=$submission_data_restrictions
     -o smtpd_relay_restrictions=permit_sasl_authenticated,reject

# main.cf
smtpd_recipient_restrictions =
     reject_unauth_destination,
     check_client_access cidr:/etc/postfix/access_client.cidr,
     check_sender_access btree:/etc/postfix/access_sender,
     reject_invalid_helo_hostname,
     reject_non_fqdn_helo_hostname,
     reject_non_fqdn_sender,
     reject_non_fqdn_recipient,
     reject_unknown_sender_domain,
     reject_unknown_recipient_domain,
     reject_unverified_recipient,
     check_policy_service unix:private/policyd-spf

submission_recipient_restrictions =
     check_client_access cidr:/etc/postfix/submission_access_client.cidr,
     check_sender_access btree:/etc/postfix/submission_access_sender,
     reject_invalid_helo_hostname,
     reject_non_fqdn_sender,
     reject_non_fqdn_recipient,
     reject_unknown_sender_domain,
     reject_unknown_recipient_domain,
     reject_authenticated_sender_login_mismatch,
     check_policy_service inet:127.0.0.1:10041,
     permit_sasl_authenticated


> Frage: ist das sinnvoll/sicher, und: verträgt sich das mit postscreen?

Solange Du sicherstellt, dass alle Mail-Clients nicht auf Port 25 
(Standard für Postscreen) einliefern sollte Dir Postscreen keine 
Probleme machen.

-- 
Alex JOST


Mehr Informationen über die Mailingliste postfix-users