[Postfixbuch-users] Versand abhängig von Authentifizierung

Torsten Kruse kruse+postfixbuch at cominto.de
Mo Jun 6 15:11:45 CEST 2005 

Hallo,

aus Sicherheitsgründen habe ich auf unserem Mailserver zusätzlich POP3S/SMTPS 
eingerichtet und auf der Firewall (zwischen LAN und Mailserver) die Ports für 
POP3/SMTP zu gemacht. Klappt soweit wunderbar.

Nur hat sich dann gezeigt, dass es im LAN ein paar Anwendungen gibt, die Mails 
mit Statusmeldungen und Remindern senden wollen und auch einige interne Server 
Mails senden müssen (z.B. Resultate der cron-Jobs). Das geht natürlich jetzt 
erstmal nicht mehr, da weder Anwendungen noch Server ohne weiteres SMTPS 
beherrschen. Die beiden Ports in der Firewall wieder frei schalten ist aus 
Sicherheitsgründen keine Alternative.

Nun ist es so, dass Server und Applikationen nur Mails an intern senden 
wollen/müssen/sollen, d.h. die eMail-Empfänger sind in diesem Falle immer 
innerhalb der lokalen Domain.

Mein Wunsch wäre jetzt, den Mailserver so zu konfigurieren, dass man mit 
SSL-Authentifizierung Mails nach überall hinsenden darf, ohne diese (egal ob 
gar keine oder "nur" SMTP_AUTH o.ä.) darf man aber nur an lokale Empfänger 
senden (also kein RELAYing).

Bei früheren aufsetzen des Servers habe ich immer RELAYING_DENIED bekommen, 
wenn ich ohne Authenzifizierung (z.B. Testversand per telnet) eine Mail senden 
  wollte. Genau sowas bräuchte ich jetzt auch wieder, nur dass SMTP_AUTH dann 
als "nicht authentifiziert" gelten soll.

Zuästzliches Hindernis: Der Mailserver hostet noch ein paar andere Domains und 
deren Benutzer sollen natürlich mittels SMPT_AUTH weiterhin überall senden 
können. Da alle Zugriff aus dem LAN über die gleiche IP (Firewall) laufen, 
ließe sich daran erkennen, ob es ein User mit SMTP_AUTH == keine 
Authentifizierung oder ein User der anderen Domains ist.

Soweit meine Idee, das ganze zu lösen. Ich habe zwar jede Menge Ansätze 
gefunden, aber bei der Kombination der Konfigurationsmöglichkeiten soweit den 
etwas komplexeren Anforderungen dann doch den Überblick verloren.

Wer kann mir weiter helfen oder hat eine andere Idee, wie ich die Sache lösen 
könnte?

Als Notlösung könnte ich natürlich noch einen Mailserver im LAN aufsetzen, 
aber das wäre dann doppelte Administration der Accounts und alle Clients 
müsste Mails von 2 Servern empfangen.


-- 
In diesem Sinne

        Torsten Kruse

Mehr Informationen über die Mailingliste Postfixbuch-users