[Postfixbuch-users] tls nur für alle netze ausser für mynetworks erzwingen
Patrick Ben Koetter
p at state-of-mind.de
Fr Dez 21 01:01:27 CET 2007
* MK <at-entertainment at gmx.net>:
> hallo liste!
>
> ist es möglich, tls nur für netze, die nicht zu mynetworks gehören zu
> erzwingen?
Ja.
Wenn diese Netze auch öffentlich erreichbare Netze (lies: Internet)
beinhalten, dann darfst du das allerdings nicht. Die RFCs sind da ziemlich
deutlich, denn ein Client, der z.B. kein TLS kann, könnte Deinem Server nie
von seinem Problem berichten.
Sind öffentliche Netze betroffen?
p at rick
>
> ich poste mal meine config:
>
> smtpd_banner = $myhostname ESMTP $mail_name
> biff = no
> append_dot_mydomain = no
> smtpd_tls_security_level = encrypt
> smtpd_tls_cert_file=/etc/postfix/certs/smtpd.cert
> smtpd_tls_key_file=/etc/postfix/certs/smtpd.key
> smtpd_tls_session_cache_timeout = 3600s
> smtpd_tls_session_cache_database = btree:${queue_directory}/smtpd_scache
> smtp_tls_session_cache_database = btree:${queue_directory}/smtp_scache
> smtp_tls_loglevel = 0
> smtpd_tls_received_header = yes
> smtpd_sasl_application_name = smtpd
> smtpd_sasl_exceptions_networks = $mynetworks
> smtpd_sasl_auth_enable = yes
> smtpd_sasl_security_options = noplaintext, noanonymous
> broken_sasl_auth_clients = yes
> smtpd_sender_login_maps = mysql:/etc/postfix/sql/sender_login_maps.cf
> hash:/etc/postfix/virtual_mailbox_aliases
> smtp_bind_address = 192.168.109.10
>
> #der server läuft auf einer vm, die externe schnittstelle vom server hat
> die 111.111.247.90, die mailports werden entsprechend an die vm
> weitergeleitet.
>
> smtpd_helo_required = yes
> smtpd_delay_reject = yes
> mydomain = localhost
> myhostname = noise.example1.net
> myorigin = $mydomain
> mydestination = noise.localhost
> localhost
> relayhost = 111.111.246.10
> mynetworks = 127.0.0.0/8, 111.111.247.88/30, 111.111.246.8/30
>
> #in dem 247er netz befindet sich der server, die 89 ist der gateway. in
> den logs taucht oft der gateway als source auf, allerdings nie, wenn man
> von aussen direkt per smtp eine mail mit dem client verschickt. der
> relay, der auch die mails vom www liefert, steht in dem 246er netz. die
> verbindung zwischen den beiden netzen ist geroutet.
>
> mailbox_size_limit = 0
> recipient_delimiter = +
> inet_interfaces = all
> address_verify_sender = postmaster at example1.net
> address_verify_negative_cache = no
> smtpd_recipient_restrictions =
> reject_non_fqdn_sender
> reject_non_fqdn_recipient
> reject_unknown_sender_domain
> reject_unknown_recipient_domain
> permit_mynetworks
> reject_sender_login_mismatch
> permit_sasl_authenticated
> reject
> smtpd_data_restrictions =
> reject_multi_recipient_bounce
> virtual_mailbox_base = /var/spool/virtual_mailboxes
> virtual_mailbox_maps =
> mysql:/etc/postfix/sql/virtual_mailbox_recipients.cf
> virtual_mailbox_domains = example1.net
> example2.net
> example3.net
> virtual_alias_maps = hash:/etc/postfix/virtual_mailbox_aliases
> virtual_uid_maps = static:5628
> virtual_gid_maps = $virtual_uid_maps
> home_mailbox = Maildir/
> #virtual_mailbox_limit = mysql:/etc/postfix/sql/virtual_mailbox_limit.cf
> #mal nebenbei, kann man quotas aus der sql tabelle bestimmen?
> virtual_mailbox_limit = 50000000
> message_size_limit = 15000000
> virtual_mailbox_limit_override = yes
> virtual_overquota_bounce = yes
>
> Dankeschön im Vorraus!
>
> Markus Kandeler
> --
> _______________________________________________
> Postfixbuch-users -- http://www.postfixbuch.de
> Heinlein Professional Linux Support GmbH
>
> Postfixbuch-users at listi.jpberlin.de
> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
--
Postfix - Einrichtung, Betrieb und Wartung
<http://www.postfix-buch.com>
saslfinger (debugging SMTP AUTH):
<http://postfix.state-of-mind.de/patrick.koetter/saslfinger/>
Mehr Informationen über die Mailingliste Postfixbuch-users