[Postfixbuch-users] Versand einschränken auf LAN und SMTP-Auth ...
Stefan G. Weichinger
lists at xunil.at
Mo Jun 22 13:34:13 CEST 2009
Hallo,
ich traue mir grad selbst nicht so ganz ;-)
Habe einen Postfix beim Kunden im LAN laufen, momentan noch per
Portforwarding (dies ändert sich auch demnächst).
Meine externen Mailserver sind MX-Einträge für die Domain, filtern das
Zeugs und leiten es per transport-table an die IP weiter, deren
Portforward auf den internen Postfix zeigt.
Der DNS-entry "mail.kunde.tld" zeigt auch auf diese IP, es soll weltweit
möglich sein, per SMTP-Auth über deren Postfix zu versenden (nicht über
mich). Ergo mußte ich das Portforwarding auf der Firewall für alle IPs
erlauben. Um den Server zu schützen, muß ich klarerweise scharf
definieren, was er darf.
Er soll also NUR annehmen von:
* den beiden IPs meiner externen Mail-Gateways
* den diversen internen LANs des Kunden, hier von mir aus ohne SMTP-Auth
* dem ganzen Internet, hier aber zwingend nur mit SMTP-Auth
Mein Ansatz:
smtpd_recipient_restrictions =
permit_mynetworks,
permit_sasl_authenticated,
reject
Mit:
proxy_interfaces = $INTERNE_IP_ROUTER
mynetworks = cidr:/etc/postfix/mynetworks
# cat mynetworks
10.1.1.0/24 LAN1
10.1.2.0/24 LAN2
[...]
$IP_EXTERNES_GW1
$IP_EXTERNES_GW2
Klingt OK für mich, aber ich traue der Einfachheit nicht, ohne Euch das
zu zeigen ;-)
Übersehe/vergesse ich was?
-
Der nächste Step wird noch, nur ausgehende Mails per amavisd auf Viren
zu checken, der eingehende Traffic ist ja schon von den externen
Gateways gewaschen, das wär doppelter Aufwand. Da denke ich an etwas ala:
smtpd_recipient_restrictions =
permit_mynetworks,
check_sender_access cidr:/etc/postfix/amavisd_networks.cidr,
permit_sasl_authenticated,
reject
# cat amavisd_networks.cidr
10.1.1.0/24 FILTER amavis:[127.0.0.1]:10024 # LAN1
10.1.2.0/24 FILTER amavis:[127.0.0.1]:10024 # LAN2
wobei mir hier die Reihenfolge noch ned ganz klar ist .... öhm
Danke für jegliches Feedback Euch ... Stefan
Mehr Informationen über die Mailingliste Postfixbuch-users