relay-User und reject_sender_login_mismatch
Tobias Kirchhofer
tobias at kirchhofer.net
Do Jan 26 12:34:12 CET 2017
Sorry für die falsch formatierte vorige E-Mail.
Für die Dokumentation: wie wir die Aufgabe nun gelöst haben (reject_authenticated_sender_login_mismatch für bestimmte User umgehen):
- Der privilegierte authentifizierte User bekommt per check_sasl_access und smtpd_restriction_classes eigene smtpd_sender_restrictions
smtpd_sender_restrictions =
check_sasl_access hash:/etc/postfix/maps/sasl_access,
reject_authenticated_sender_login_mismatch,
permit_mynetworks,
reject_sender_login_mismatch,
permit_sasl_authenticated,
reject_unlisted_sender,
reject_unknown_sender_domain
/etc/postfix/maps/sasl_access:
# User die reject_authenticated_sender_login_mismatch umgehen
relay at domain.com permit_relayuser
smtpd_restriction_classes = greylist, permit_relayuser
permit_relayuser =
permit_mynetworks
permit_sasl_authenticated
reject_unlisted_sender
reject_unknown_sender_domain
Wenn das so passt, dann habe ich smtpd_restriction_classes jetzt verstanden :) Es hing an check_sasl_access (wie gegen den authentifizierten Usernamen prüfen), das fehlte…
Danke fürs zuhören ;)
On 23 Jan 2017, at 19:54, Alex JOST wrote:
> Am 23.01.2017 um 19:24 schrieb Tobias Kirchhofer:
>> Hallo zusammen,
>>
>> wir haben ein gut funktionierendes postfix/dovecot System, das dem User erlaubt
>> nur mit sasl authentifiziertem Benutzername zu versenden der mit der
>> Absenderadresse im Envelop übereinstimmt. Per smtpd_sender_login_maps
>> konfigurieren wir Ausnahmen.
>>
>> Nun haben wir einen User relay at domain (der u.a. Ausgaben von Cron-Jobs verteilt
>> aber auch E-Mails aus Websites), der unseren Mailserver von verschiedenen
>> Servern aus als Relay nutzt. Die Systeme haben unterschiedliche Domains und
>> prinzipiell immer wieder neue und andere, so dass wir dem Relay-User gerne
>> gestatten möchten im Namen von allen möglichen Absendern E-Mails zu versenden,
>> um nicht immer nachpflegen zu müssen.
>>
>> Im Moment haben wir das so gelöst:
>>
>> smtpd_sender_login_maps.regexp:
>> /./@./.lan|dmz|gast.example.com/ relay at kirchhofer.net <mailto:relay at kirchhofer.net>
>>
>> Wir möchten am liebsten sowas machen, aber das funktioniert nicht:
>>
>> /^([^@+]/)(+[^@]/)?@./../$/ relay at kirchhofer.net <mailto:relay at kirchhofer.net> #
>> Wildcard mit Extensions
>>
>> Keiner kann mehr am System E-Mails abliefern :)
>>
>> Wie würde man so einen universellen Relay-User hinbekommen, ohne auf
>> reject_sender_login_mismatch zu verzichten?
>
> Am besten wäre wohl Du erstellst eigene 'smtpd_restriction_classes'.
>
> Siehe dazu:
> http://www.postfix.org/RESTRICTION_CLASS_README.html
>
> --
> Alex JOST
--
Tobias Kirchhofer
tobias at kirchhofer.net
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : signature.asc
Dateityp : application/pgp-signature
Dateigröße : 801 bytes
Beschreibung: OpenPGP digital signature
URL : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20170126/12cb7f25/attachment.asc>
Mehr Informationen über die Mailingliste Postfixbuch-users