Привет, люди, человеки!Вот какое дело. В Postfix'e настроены рестрикции (см.ниже). В самое начало вынес access'ы для тех кто криво шлет, сидит в RBL'ях в общем lame..
Скажем в hash:../sender_access пишу:
---
ufanet.ru OK
---
в результате ты с любого внеш. IP обозвавшись vasya@ufanet.ru получаешь доступ к релею_хоть_куда(!) а мне хотелось бы чтобы был получен доступ только к отправке на мой почтарь.и точно так же с hash:../client_access и hash:..../rcpt_access
где-то косяк в настройках?
подскажите, люди добрые, пожалуйста!---- main.cf ------------------
smtpd_client_restrictions =
smtpd_helo_restrictions =
smtpd_sender_restrictions =smtpd_recipient_restrictions =
check_client_access hash:/etc/postfix/client_access,
check_sender_access hash:/etc/postfix/sender_access,
check_recipient_access hash:/etc/postfix/rcpt_access,
check_helo_access hash:/etc/postfix/helo_access,
#
reject_non_fqdn_sender,
reject_unknown_sender_domain,
permit_mynetworks,
reject_invalid_hostname,
reject_non_fqdn_hostname,
reject_non_fqdn_recipient,
reject_unknown_recipient_domain,
reject_unauth_pipelining,
reject_unauth_destination,
reject_maps_rbl,
check_relay_domains
----------------------
Привет. Может попробовать через regexp ? То бишь указать отправителя и домен получателя. Такое возможно? Если да поделитесь как?
ерундой занимаешься! зачем тебе sender access и др ?
разреши слать из свой локалки и всё! по умолчанию у постфикса релей закрыт извне! что тебе еще надо ? за что боремся ?
>ерундой занимаешься! зачем тебе sender access и др ?
>разреши слать из свой локалки и всё! по умолчанию у постфикса релей
>закрыт извне! что тебе еще надо ? за что боремся
>?собственно да. суть в чем?
>>ерундой занимаешься! зачем тебе sender access и др ?
>>разреши слать из свой локалки и всё! по умолчанию у постфикса релей
>>закрыт извне! что тебе еще надо ? за что боремся
>>?
>
>собственно да. суть в чем?короче, суть рассказываю:
для своей сети я ж разрешил все (см. permit mynetworks)
для внешних конектов, как видно, довольно жесткие рестрикции, однако ж, редко но метко попадаются клиенты (то бишь MTA) которые, например шлют не fqdn helo, или сидят в RBL'ях, или не шлют helo вообще ну и так по-мелочи..
так вот, в рестрикциях самыми первыми идут списки как раз этих "уродов" (hash:client, ..sender, ..rcpt) над которыми не надо осуществлять контроль согласно дальнейших (нижеследующих) рестрикций...
вот.
а когда попробовал поставил "reject_unknown_client" (это когда у ip нету имени) число "уродов" выросло на порядок.. - убрал.. :)
regexp'ом думаю можно.. но это ч/з asshole.. ah?
p.s.
вообще я ожидал следующий синтаксис access-файлов:
REJECT - понятно
RELAY - можно релеить ему
OK - можно/нужно принять
>>>ерундой занимаешься! зачем тебе sender access и др ?
>>>разреши слать из свой локалки и всё! по умолчанию у постфикса релей
>>>закрыт извне! что тебе еще надо ? за что боремся
>>>?
>>
>>собственно да. суть в чем?
>
>короче, суть рассказываю:
>
>для своей сети я ж разрешил все (см. permit mynetworks)
>
>для внешних конектов, как видно, довольно жесткие рестрикции, однако ж, редко но
>метко попадаются клиенты (то бишь MTA) которые, например шлют не fqdn
>helo, или сидят в RBL'ях, или не шлют helo вообще ну
>и так по-мелочи..
>
>так вот, в рестрикциях самыми первыми идут списки как раз этих "уродов"
>(hash:client, ..sender, ..rcpt) над которыми не надо осуществлять контроль согласно дальнейших
>(нижеследующих) рестрикций...
>
>вот.
>
>а когда попробовал поставил "reject_unknown_client" (это когда у ip нету имени) число
>"уродов" выросло на порядок.. - убрал.. :)
>
>regexp'ом думаю можно.. но это ч/з asshole.. ah?
>
>p.s.
>вообще я ожидал следующий синтаксис access-файлов:
>REJECT - понятно
>RELAY - можно релеить ему
>OK - можно/нужно принять
>http://www.postfix.org/uce.html#smtpd_helo_restrictionsда нет же..
речь о access файлах.. ну хорошо: пусть кто-то шлет хэло вот так: "mail_server" - мой почтарь его отошлет (так как не FQDN)
делаю так: hash: ../helo_access
------------ helo-access --------
mail_server OK
---------------------------------
так? да! после этого мой почтарь начинает принимать месаги от него. НО!!!
помимо этого он рахрешит ему релеить(!!!) ч/з себя.(да и вообще любому, кто в хэло скажет "mail_server")ясно?
Чего хочу я: чтобы он не разрешал релеить, а резрешал только доставлять.
Выше подсказали разрулить регуляркой.. может есть что штатное?СПАСИБО!
>
>>http://www.postfix.org/uce.html#smtpd_helo_restrictions
>
>да нет же..
>речь о access файлах.. ну хорошо: пусть кто-то шлет хэло вот так:
>"mail_server" - мой почтарь его отошлет (так как не FQDN)
>делаю так: hash: ../helo_access
>------------ helo-access --------
>mail_server OK
>---------------------------------
>так? да! после этого мой почтарь начинает принимать месаги от него. НО!!!
>
>помимо этого он рахрешит ему релеить(!!!) ч/з себя.(да и вообще любому, кто
>в хэло скажет "mail_server")
>
>ясно?
>
>Чего хочу я: чтобы он не разрешал релеить, а резрешал только доставлять.
>
>Выше подсказали разрулить регуляркой.. может есть что штатное?
>
>СПАСИБО!Поставь все хеши после правил с reject
>>
>>>http://www.postfix.org/uce.html#smtpd_helo_restrictions
>>
>>да нет же..
>>речь о access файлах.. ну хорошо: пусть кто-то шлет хэло вот так:
>>"mail_server" - мой почтарь его отошлет (так как не FQDN)
>>делаю так: hash: ../helo_access
>>------------ helo-access --------
>>mail_server OK
>>---------------------------------
>>так? да! после этого мой почтарь начинает принимать месаги от него. НО!!!
>>
>>помимо этого он рахрешит ему релеить(!!!) ч/з себя.(да и вообще любому, кто
>>в хэло скажет "mail_server")
>>
>>ясно?
>>
>>Чего хочу я: чтобы он не разрешал релеить, а резрешал только доставлять.
>>
>>Выше подсказали разрулить регуляркой.. может есть что штатное?
>>
>>СПАСИБО!
>
>Поставь все хеши после правил с rejectдык, если поставлю в конец, как я понимаю, то они будут обрабатываться в последнюю очередь! "или с кем" ?