[Postfixbuch-users] Versand einschränken auf LAN und SMTP-Auth ...
Sandy Drobic
postfixbuch-users at drobic.de
Di Jun 23 19:19:00 CEST 2009
Stefan G. Weichinger wrote:
> Hallo,
> ich traue mir grad selbst nicht so ganz ;-)
>
> Habe einen Postfix beim Kunden im LAN laufen, momentan noch per
> Portforwarding (dies ändert sich auch demnächst).
>
> Meine externen Mailserver sind MX-Einträge für die Domain, filtern das
> Zeugs und leiten es per transport-table an die IP weiter, deren
> Portforward auf den internen Postfix zeigt.
>
> Der DNS-entry "mail.kunde.tld" zeigt auch auf diese IP, es soll weltweit
> möglich sein, per SMTP-Auth über deren Postfix zu versenden (nicht über
> mich). Ergo mußte ich das Portforwarding auf der Firewall für alle IPs
> erlauben. Um den Server zu schützen, muß ich klarerweise scharf
> definieren, was er darf.
>
> Er soll also NUR annehmen von:
>
> * den beiden IPs meiner externen Mail-Gateways
> * den diversen internen LANs des Kunden, hier von mir aus ohne SMTP-Auth
> * dem ganzen Internet, hier aber zwingend nur mit SMTP-Auth
>
> Mein Ansatz:
>
> smtpd_recipient_restrictions =
> permit_mynetworks,
> permit_sasl_authenticated,
> reject
smtpd_recipient_restrictions =
# nur gültige Empfänger eigener Domains:
reject_unlisted_recipient
permit_sasl_authenticated
# akzeptiere die IPs der offiziellen MX:
check_client_access hash:/etc/postfix/accept_mx_only
permit_mynetworks
reject
So wird die Konfig etwas klarer.
> Mit:
>
> proxy_interfaces = $INTERNE_IP_ROUTER
>
> mynetworks = cidr:/etc/postfix/mynetworks
>
> # cat mynetworks
> 10.1.1.0/24 LAN1
> 10.1.2.0/24 LAN2
> [...]
> $IP_EXTERNES_GW1
> $IP_EXTERNES_GW2
>
> Klingt OK für mich, aber ich traue der Einfachheit nicht, ohne Euch das
> zu zeigen ;-)
>
> Übersehe/vergesse ich was?
>
> -
>
> Der nächste Step wird noch, nur ausgehende Mails per amavisd auf Viren
> zu checken, der eingehende Traffic ist ja schon von den externen
> Gateways gewaschen, das wär doppelter Aufwand. Da denke ich an etwas ala:
Dann trenne die Funktionen über Ports bzw. über andere IPs.
main.cf:
Internet Port 25:
smtpd_recipient_restrictions =
# nur gültige Empfänger eigener Domains:
reject_unlisted_recipient
# akzeptiere die IPs der offiziellen MX:
check_client_access hash:/etc/postfix/accept_mx_only
reject
master.cf:
# Internet smtp_auth für Submission Port (589):
submission inet n - n - - smtpd
-o smtpd_enforce_tls=yes
-o smtpd_sasl_auth_enable=yes
-o smtpd_recipient_restrictions=permit_sasl_authenticated,reject
-o content_filter=smtp-amavis:[127.0.0.1]:10024
# Internes Netz: 10.1.1.0
10.1.1.10:25 inet n - n - - smtpd
-o smtpd_recipient_restrictions=permit_mynetworks,reject
-o content_filter=smtp-amavis:[127.0.0.1]:10024
PS: kann es sein, dass du bei dir noch als reply-to den alten listi
eingetragen hast in deinem Mailclient?
--
Sandy
Antworten bitte nur in die Mailingliste!
PMs bitte an: news-reply2 (@)drobic (.) de
Mehr Informationen über die Mailingliste Postfixbuch-users