[Postfixbuch-users] Versand einschränken auf LAN und SMTP-Auth ...

Di Jun 23 19:19:00 CEST 2009

Stefan G. Weichinger wrote:
> Hallo,
> ich traue mir grad selbst nicht so ganz ;-)
> 
> Habe einen Postfix beim Kunden im LAN laufen, momentan noch per
> Portforwarding (dies ändert sich auch demnächst).
> 
> Meine externen Mailserver sind MX-Einträge für die Domain, filtern das
> Zeugs und leiten es per transport-table an die IP weiter, deren
> Portforward auf den internen Postfix zeigt.
> 
> Der DNS-entry "mail.kunde.tld" zeigt auch auf diese IP, es soll weltweit
> möglich sein, per SMTP-Auth über deren Postfix zu versenden (nicht über
> mich). Ergo mußte ich das Portforwarding auf der Firewall für alle IPs
> erlauben. Um den Server zu schützen, muß ich klarerweise scharf
> definieren, was er darf.
> 
> Er soll also NUR annehmen von:
> 
> * den beiden IPs meiner externen Mail-Gateways
> * den diversen internen LANs des Kunden, hier von mir aus ohne SMTP-Auth
> * dem ganzen Internet, hier aber zwingend nur mit SMTP-Auth
> 
> Mein Ansatz:
> 
> smtpd_recipient_restrictions =
>  permit_mynetworks,
>  permit_sasl_authenticated,
>  reject

smtpd_recipient_restrictions =
	# nur gültige Empfänger eigener Domains:
	reject_unlisted_recipient
	permit_sasl_authenticated
	# akzeptiere die IPs der offiziellen MX:
	check_client_access hash:/etc/postfix/accept_mx_only
	permit_mynetworks
	reject

So wird die Konfig etwas klarer.

> Mit:
> 
> proxy_interfaces = $INTERNE_IP_ROUTER
> 
> mynetworks = cidr:/etc/postfix/mynetworks
> 
> # cat mynetworks
> 10.1.1.0/24 LAN1
> 10.1.2.0/24 LAN2
> [...]
> $IP_EXTERNES_GW1
> $IP_EXTERNES_GW2
> 
> Klingt OK für mich, aber ich traue der Einfachheit nicht, ohne Euch das
> zu zeigen ;-)
> 
> Übersehe/vergesse ich was?
> 
> -
> 
> Der nächste Step wird noch, nur ausgehende Mails per amavisd auf Viren
> zu checken, der eingehende Traffic ist ja schon von den externen
> Gateways gewaschen, das wär doppelter Aufwand. Da denke ich an etwas ala:

Dann trenne die Funktionen über Ports bzw. über andere IPs.

main.cf:
Internet Port 25:
smtpd_recipient_restrictions =
	# nur gültige Empfänger eigener Domains:
	reject_unlisted_recipient
	# akzeptiere die IPs der offiziellen MX:
	check_client_access hash:/etc/postfix/accept_mx_only
	reject

master.cf:
# Internet smtp_auth für Submission Port (589):
submission      inet    n       -       n       -       -       smtpd
  -o smtpd_enforce_tls=yes
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject
  -o content_filter=smtp-amavis:[127.0.0.1]:10024

# Internes Netz: 10.1.1.0
10.1.1.10:25      inet  n       -       n       -       -       smtpd
  -o smtpd_recipient_restrictions=permit_mynetworks,reject
  -o content_filter=smtp-amavis:[127.0.0.1]:10024

PS: kann es sein, dass du bei dir noch als reply-to den alten listi
eingetragen hast in deinem Mailclient?

-- 
Sandy

Antworten bitte nur in die Mailingliste!
PMs bitte an: news-reply2 (@)drobic (.) de