Имеется почтовый сервер с Postfix 2.5.5 на debian lenny. Проблема в том, что open relay остается открытым для списка access. Как его закрыть для них? Конфигурировал почтовик не я и пока postfix.org не помог разобраться.

postconf -n:

alias_database = hash:/etc/postfix/aliases, hash:/etc/postfix/vse
alias_maps = hash:/etc/postfix/aliases
command_directory = /usr/sbin
config_directory = /etc/postfix
content_filter = scan:127.0.0.1:8025
daemon_directory = /usr/lib/postfix
debug_peer_level = 2
disable_vrfy_command = yes
header_checks = regexp:/etc/postfix/header_checks
html_directory = no
inet_interfaces = all
local_recipient_maps = unix:passwd.byname $alias_maps
mail_owner = postfix
mailbox_size_limit = 0
mailq_path = /usr/local/bin/mailq
manpage_directory = /usr/local/man
maps_rbl_reject_code = 550
maximal_queue_lifetime = 3d
message_size_limit = 26000000
mydestination = $myhostname, localhost.$mydomain, $mydomain, mail.$mydomain, www.$mydomain, ftp.$mydomain,
mydomain = mydomain.ru
myhostname = myhostname
mynetworks = xxx.xxx.xxx.0/24, xxx.xxx.rrrr.0/24, 127.0.0.0/8
myorigin = $mydomain
newaliases_path = /usr/local/bin/newaliases
queue_directory = /var/spool/postfix
readme_directory = no
receive_override_options = no_address_mappings
sample_directory = /usr/local/etc/postfix
sender_bcc_maps = hash:/etc/postfix/sender_bcc
sendmail_path = /usr/local/sbin/sendmail

smtpd_client_restrictions = permit_mynetworks,            
check_client_access hash:/etc/postfix/access,            
check_client_access hash:/etc/postfix/spamersip,            
check_client_access pcre:/etc/postfix/client_checks.pcre,    
        
reject_rbl_client zen.spamhaus.org,            
reject_rbl_client cbl.abuseat.org,            
reject_rbl_client dul.ru,            
reject_rbl_client dnsbl.sorbs.net

smtpd_etrn_restrictions = permit_mynetworks,            
check_client_access hash:/etc/postfix/access,                         
check_sender_access hash:/etc/postfix/access
smtpd_helo_required = yes

smtpd_helo_restrictions = permit_mynetworks,            
check_client_access hash:/etc/postfix/access,            
check_helo_access regexp:/etc/postfix/access_smtpd,            
check_helo_access pcre:/etc/postfix/helo_checks.pcre,            
reject_non_fqdn_hostname,            
reject_unknown_hostname,            
reject_invalid_hostname
smtpd_recipient_limit = 35
smtpd_recipient_restrictions = permit_mynetworks,                
check_client_access hash:/etc/postfi/access,                        
check_recipient_access hash:/etc/postfix/recipient_access,                
reject_unauth_pipelining,                
reject_unauth_destination,                
reject_non_fqdn_recipient
smtpd_sender_restrictions = permit_mynetworks,            
check_sender_access hash:/etc/postfix/sender_access,            
check_client_access hash:/etc/postfix/access,            
reject_unknown_sender_domain,
strict_rfc821_envelopes = yes

• Postfix+whitelist=open relay, как закрыть ?,Vladimir, 06:49 , 04-Авг-11
  • Postfix+whitelist=open relay, как закрыть ?,evors, 10:17 , 04-Авг-11
    • Postfix+whitelist=open relay, как закрыть ?,Дядя_Федор, 11:04 , 04-Авг-11
      • Postfix+whitelist=open relay, как закрыть ?,evors, 12:19 , 04-Авг-11
        • Postfix+whitelist=open relay, как закрыть ?,Choper, 14:06 , 04-Авг-11
        • Postfix+whitelist=open relay, как закрыть ?,Дядя_Федор, 15:42 , 04-Авг-11
          • Postfix+whitelist=open relay, как закрыть ?,evors, 16:14 , 05-Авг-11
            • Postfix+whitelist=open relay, как закрыть ?,Дядя_Федор, 17:44 , 05-Авг-11
            • Postfix+whitelist=open relay, как закрыть ?,LSTemp, 02:26 , 09-Авг-11

>> mynetworks = xxx.xxx.xxx.0/24, xxx.xxx.rrrr.0/24, 127.0.0.0/8

Оставить mynetworks =  127.0.0.0/8

>>> mynetworks = xxx.xxx.xxx.0/24, xxx.xxx.rrrr.0/24, 127.0.0.0/8
>  Оставить mynetworks =  127.0.0.0/8

Этот вариант, не подходит потому, что внешние офисы так же отправляют почту через этот сервер, а поскольку они идут через тот же гейт, что и остальной инет к нам, то убрать адреса вида xxx.xxx.xxx.0/24 нельзя.

> Этот вариант, не подходит потому, что внешние офисы так же отправляют почту
> через этот сервер, а поскольку они идут через тот же гейт,
> что и остальной инет к нам, то убрать адреса вида xxx.xxx.xxx.0/24
> нельзя.

Вы спросили - как его закрыть - Вам ответили. Вы бы определились для начала - Вам надо его ЗАКРЫТЬ или не надо? Еще один вариант - настроить отправку почты с авторизацией по паролю. Но Вам ведь тоже это не подойдет, правда? Это ж надо каждого клиента перенастраивать? Ну тогда по окружающим прудам пошарьтесь - может кувшин с Хоттабычем найдете. Они (Хоттабычи) обычно делают так, что "оно само" начинает работать. Все остальные варианты предполагают приложения усилий - как умственных, так и физических.

>[оверквотинг удален]
>> что и остальной инет к нам, то убрать адреса вида xxx.xxx.xxx.0/24
>> нельзя.
>  Вы спросили - как его закрыть - Вам ответили. Вы бы
> определились для начала - Вам надо его ЗАКРЫТЬ или не надо?
> Еще один вариант - настроить отправку почты с авторизацией по паролю.
> Но Вам ведь тоже это не подойдет, правда? Это ж надо
> каждого клиента перенастраивать? Ну тогда по окружающим прудам пошарьтесь - может
> кувшин с Хоттабычем найдете. Они (Хоттабычи) обычно делают так, что "оно
> само" начинает работать. Все остальные варианты предполагают приложения усилий - как
> умственных, так и физических.

Не очень понятен смысл вашего возбужденного опуса. Вопрос однозначен - "как закрыть open relay" и другого я нигде не писал и не спрашивал. Однако это не значит, что надо лишать сервер уже имеющегося функционала. Первый вариант решает одну проблему, но добавляет новую, что недопустимо. Авторизация не подходит, т.к. это усложняет работу и уже влияет на клиентскую сторону.

Само собой свои умственные и физический ресурсы активно привлекаются к решению данной проблемы. Насильно, ваши усилия мне не нужны. Если у вас нет времени и желания на это - свободны.

>[оверквотинг удален]
>> умственных, так и физических.
> Не очень понятен смысл вашего возбужденного опуса. Вопрос однозначен - "как закрыть
> open relay" и другого я нигде не писал и не спрашивал.
> Однако это не значит, что надо лишать сервер уже имеющегося функционала.
> Первый вариант решает одну проблему, но добавляет новую, что недопустимо. Авторизация
> не подходит, т.к. это усложняет работу и уже влияет на клиентскую
> сторону.
> Само собой свои умственные и физический ресурсы активно привлекаются к решению данной
> проблемы. Насильно, ваши усилия мне не нужны. Если у вас нет
> времени и желания на это - свободны.

может быть установить в разрешенных сетях smtp-сервера? если юниксы не хотите там ставить то и под винду попадались даже бесплатные в свое время, там же и рулить отправкой, тогда можно прописать не сети, а конкретные ip/32 в конфиге постфикса.

> Не очень понятен смысл вашего возбужденного опуса. Вопрос однозначен - "как закрыть
> open relay" и другого я нигде не писал и не спрашивал.

У Вас каша в голове. Почтовый сервер компании по сути своей является "open relay" для сети компании! Это его основное предназначение! А каша Ваша заключается в том, что Вы не понимаете, что такое на самом деле open relay. Это сервер, который пропускает почту со ВСЕГО мира! Вот классическое определение термина open relay. Вам и предложили 2 варианта:
1. Разрешить пропускать почту только с себя. Что по сути лишает почтовый сервер его фукнционала напрочь.
2. Пропускать почту только от авторизованных пользователей.
Больше вариантов без нарушения функциональности не существует. Вы же хотите чего "странного". Хирургическим путем приделать к бабушке я..ца, но при этом, чтобы она не становилась дедушкой. Может хоть так дойдет?
Чем Вам, собственно, мешает то, что почтовый сервер выполняет свое предназначение? То есть - пропускает почту со своей сети. Может Вы просто неправильно сформулировали проблему? Такая мысль не приходила в голову?

> Вам и предложили
> 2 варианта:
> 1. Разрешить пропускать почту только с себя. Что по сути лишает почтовый
> сервер его фукнционала напрочь.
> 2. Пропускать почту только от авторизованных пользователей.
> Больше вариантов без нарушения функциональности не существует.

Спасибо всем ответившим и особенно Дяде Федору, за понятные и метафоричные коменты. Проблема сформулирована верно, но действительно не имеет решения.

Тему можно закрывать.

> Спасибо всем ответившим и особенно Дяде Федору, за понятные и метафоричные коменты.
> Проблема сформулирована верно, но действительно не имеет решения.

Нэма за що. :) Если не возражаете - то может все-таки ответите на вопрос. В связи чем возникло желание запретить машинкам из собственной сети пересылать почту через почтовый сервер? У меня просто есть устойчивое ощущение, что Вы просто неверно сформулировали вопрос. Может быть проблема в спаме, который периодически (что неизбежно) будет пролетать из внутренней сети? Ну и от себя замечу, что у меня, например, в Постфиксе те, кому разрешена пересылка обозначены так в main.cf: mynetworks = cidr:/etc/postfix/network-table
Ну и дальше, естественно, простейший файлик, в котором перечислены сети в формате CIDR.

>> Вам и предложили
>> 2 варианта:
>> 1. Разрешить пропускать почту только с себя. Что по сути лишает почтовый
>> сервер его фукнционала напрочь.
>> 2. Пропускать почту только от авторизованных пользователей.
>> Больше вариантов без нарушения функциональности не существует.
> Спасибо всем ответившим и особенно Дяде Федору, за понятные и метафоричные коменты.
> Проблема сформулирована верно, но действительно не имеет решения.

Имеет!!!. Скоро кончатся все летние каникулы и телепаты вернуться из турции!

И тут же станет всем понятна схема Вашей сети (они - телепаты - расскажут. Нет - не на форуме - просто ВЕСЬ МИР сразу будет ЗНАТЬ что у Вас происходит (ну телепаты ешкин кот - что с них возьмешь?)), и что Вы хотели добиться, и что делали, и что не получилось.

Эти отдохнувшие дядтки и тетки так навалятся на работу, что Вам даже логов высылать не придется!!! Просто наберитесь терпения.

> Тему можно закрывать.

Неужели?

PS
все телепаты 1-е сентября с 1-м апрлеля путают... может еще нескольо месяцев подождать придется!