[Postfixbuch-users] Nur einen enizigen externen Mailserver akzeptieren

Olaf Menzel olaf at ocmenzel.de
Mi Jun 13 09:03:25 CEST 2007 

Sandy Drobic schrieb:
> Olaf Menzel wrote:
>   
>> Matthias Haegele schrieb:
>>     
>>> Olaf Menzel schrieb:
>>>   
>>>       
>>>> Liebe Postfixfreunde,
>>>>
>>>> ich verstehe leider noch nicht so richtig die
>>>> smptd_recipient_restrictions, um Folgende Aufgabe zu erfüllen:
>>>>
>>>> Es gibt einen einigen Mailserver, welcher als zuständiger MX  meine
>>>> Emails vom Internet entgegen nimmt.
>>>> Nur dieser Server und sonst kein anderer externer Server darf Emails bei
>>>> mir einliefern. Die Clients müssen sich per SMTP AUTH bei mir
>>>> authentifizieren, um Ihre Emails bei mir los zu werden.
>>>>
>>>> Gibt es eine Hash-Tabelle,ähnlich der Mynetworks, in welcher ich IP
>>>> Bereiche festlegen kann und eine smptd_recipient_restrictions, welche
>>>> die Auslieferung von Emails nur von dieser Email erlaubt ? Das beißt
>>>> sich dann wahrscheinlich mit SMTP AUTH für die Clients.
>>>>     
>>>>         
>>> Hmm:
>>> Warum nicht den Server in mynetworks aufnehmen?
>>> (Der hat doch hoffentlich eine feste IP oder?)
>>>
>>> Die Clients authentifizieren sich dann mittels SASL?
>>>
>>> permit_sasl_authenticated
>>> smtpd_sasl_auth_enable = yes
>>>
>>>
>>>   
>>>       
>> Ja daran, habe ich auch gedacht und auch schon gestern so konfiguriert.
>> Ich weiß aber nicht, ob dann nicht doch die "ganze Welt" bei mir auf
>> Port 25 einliefern darf. SASL und TLS ist schon drin.:
>>
>> smtpd_recipient_restrictions =
>>             reject_invalid_hostname,
>>             # reject_non_fqdn_hostname,   -->   geht nicht wegen
>> outlook( sendet kein fqdn) :-(
>>             reject_non_fqdn_sender,
>>             reject_non_fqdn_recipient,
>>             reject_unknown_sender_domain,
>>             reject_unknown_recipient_domain,
>>             reject_unauth_pipelining,
>>             permit_mynetworks,
>>             permit_sasl_authenticated,
>>             reject_unauth_destination,
>>             permit
>>
>>
>> Nun - mit dieser Konfiguration kann jeder SMTP-Server bei mir
>> einliefern, sofern er die obengenannten Restrictions überlebt hat. Nun
>> will will ich aber genau das Gegenteil:
>>
>> Keiner dar bei mir einliefern, es sei denn ich erlaube dieses explizit.
>> Es soll nur eingeliefert werden, wenn permit_mynetworks und
>> permit_sasl_authenticated ein OK liefern. Oder verstehe ich die Logik
>> der smtp_rcipient_restrictions noch nicht richtig ?
>>     
>
> mynetworks = 127.0.0.1,
> smdpd_recipient_restrictions =
> 	permit_mynetworks,
> 	permit_saslauthenticated,
> 	reject_unauth_destination,
> 	check_client_access hash:/etc/postfix/allowed_client
> 	reject
>
> /etc/postfix/allowed_client:
> ip.of.allowed.client	OK
>
>   
Wenn ich das richtig verstehe, bewirkt das REJECT am Ende der
smtpd_recipient_restrictions genau das was ich will:
Es ist erst einmal alles verboten, es sei denn ich erlaube es in den
restrictions ?
> Das wäre die Konfiguration, wenn man mx und Spamfilterung an einen
> externen Provider übergeben hat.
>
>
>   
Ja in der Tat. Ich teste gerade Expurgate. Die Spammer liefern aber
trotzdem bei mir direkt ein. Das will ich verhindern.

Mehr Informationen über die Mailingliste Postfixbuch-users