Постфиксные и ограничения доступа на неизвестные клиенты
Я пытаюсь настроить постфикс mailserver, и мне связали сомнение с параметрами как smtpd_reject_unlisted_sender и такие вещи.
Конечно, я хотел бы настроить свой сервер таким способом, если клиент (например, john@mydomain.com), будучи "mydomain.com" размещенный домен моего сервера, с помощью его Клиента SMTP MUA (как Outlook или Thunderbird), пытается послать электронное письмо от a from обратитесь отличающийся от john, запрос отклоняется, и также отклоните каждую почту sended от неизвестного "отправителя", если этот отправитель не принадлежит другому "безопасному" / "существующий" домен.
Я знаю, как может я настраивать подобные вещи, но я не знаю то, что является "объемом" этих restrinctions.
Конкретный пример: если я установил smtpd_reject_unlist_sender кому: on, и alice@gmail.com посылает электронное письмо john@mydomain.com, почта alice будет отклонена, так как это - неизвестный отправитель? Я не хочу отклонять подобные электронные письма, и постфиксная конфигурация не указывает, которым классам адресов принадлежит каждый *_reject_* параметр (значение по умолчанию, размещенное или каноническое).
Postfix предоставляет несколько «проверок». которые можно оценить на разных «этапах» входящего SMTP-соединения. «Проверки» - это что-то вроде « аутентифицирован ли удаленный клиент по протоколу SASL? », « - это удаленный клиент, предоставляющий полное доменное имя HELO Hostname? », « - удаленный клиент запрашивает конвейерную обработку SMTP? », а также« находится ли удаленный клиент в черном списке некоторых RBL? »или« подключается ли удаленный клиент из одной из моих IP-подсетей » ?
Такие проверки могут быть оценены на разных этапах транзакции SMTP:
- как только будет установлено TCP-соединение ( smtpd_client_restrictions )
- , когда клиент выдает команду «MAIL FROM» ( smtpd_sender_restrictions )
- , когда клиент отправляет команду «RCPT TO» ( smtpd_recipient_restrictions )
, а также на других этапах.
Ограничения / директивы выше, могут можно объединить, как в следующем примере (обратите внимание, что « ... ограничения применяются в указанном порядке; первое ограничение, которое соответствует [115697] 0] »):
smtpd_client_restrictions =
permit_sasl_authenticated
check_client_access hash:/etc/postfix/access
check_policy_service inet:127.0.0.1:4466
warn_if_reject reject_unknown_reverse_client_hostname
reject_non_fqdn_helo_hostname
reject_unauth_pipelining
reject_invalid_helo_hostname
reject_rbl_client bl.spamcop.net
smtpd_sender_restrictions =
reject_non_fqdn_sender,
reject_unknown_sender_domain,
check_sender_access hash:/etc/postfix/sender_access
smtpd_recipient_restrictions =
check_policy_service inet:127.0.0.1:10045,
permit_sasl_authenticated,
reject_invalid_helo_hostname,
reject_non_fqdn_recipient,
reject_unknown_recipient_domain,
check_recipient_access hash:/etc/postfix/access_recipient
permit_mynetworks,
warn_if_reject reject_unverified_recipient,
reject_unauth_destination,
check_policy_service inet:127.0.0.1:2501`
Чтобы правильно ЗАПИСАТЬ полезную информацию, которая может быть неизвестна в контексте« smtpd_client_restrictions »(или другом), параметр« smtpd_delay_reject = yes »может быть полезен, так как он задержит «время отказа», чтобы собрать другую информацию (например, получатель очень полезен для правильного устранения проблем с конечными пользователями, которые жалуются на отсутствие полученной почты).
Postfix - очень сложная система и, как таковая, чрезвычайно гибкий и мощный. Вы можете найти много информации на официальных веб-страницах (например: http://www.postfix.org/postconf.5.html ), которая, кстати, включает также некоторые полезные конфигурации, которые могут быть используется в качестве отправной точки для вашей собственной настройки ( http: //www.postfix.org / STANDARD_CONFIGURATION_README.html )
P.S .: пожалуйста, будьте «любезны» с этим ответом, поскольку ... это мой первый POST на арене ServerFault / StackExchange; -)
smtpd_reject_unlisted_sender используется для управления почтой от ваших локальных отправлений или от пользователей, прошедших проверку подлинности sasl, через порт отправки. Он проверяет наличие конверта с адреса SMTP FROM в исходящих электронных письмах ваших пользователей по адресам в виртуальных или канонических доменах.