Есть почтовый сервер на базе Postfix. Настроена аутентификация пользователей через SASL. Вся проблема в том, что у пользователей регулярно воруют логины/пароли и рассылают через сервак спам. Я уже задолбался вытаскивать его из блэклистов. Стоит такая задача: нужно разрешить пользователям аутентифицироваться только из определённых сетей (а не откуда они хотят) с возможностью прописать исключения.

• Postfix, хочется странного,ALex_hha, 12:55 , 11-Ноя-09
  • Postfix, хочется странного,Cyclone, 13:43 , 11-Ноя-09
    • Postfix, хочется странного,ALex_hha, 13:45 , 11-Ноя-09
      • Postfix, хочется странного,Cyclone, 13:53 , 11-Ноя-09
        • Postfix, хочется странного,ALex_hha, 15:21 , 11-Ноя-09
• Postfix, хочется странного,ia, 14:09 , 11-Ноя-09
  • Postfix, хочется странного,Cyclone, 14:59 , 11-Ноя-09
    • Postfix, хочется странного,ia, 15:31 , 11-Ноя-09
    • Postfix, хочется странного,Amator, 16:43 , 11-Ноя-09
      • Postfix, хочется странного,Cyclone, 13:17 , 22-Июл-10
      • Postfix, хочется странного,Cyclone, 22:43 , 22-Июл-10
        • Postfix, хочется странного,serg37, 04:35 , 08-Окт-18

>Есть почтовый сервер на базе Postfix. Настроена аутентификация пользователей через SASL. Вся
>проблема в том, что у пользователей регулярно воруют логины/пароли и рассылают
>через сервак спам.

какой то маразм. Потерял пароль - штраф.

> Я уже задолбался вытаскивать его из блэклистов. Стоит
>такая задача: нужно разрешить пользователям аутентифицироваться только из определённых сетей (а не откуда они хотят) с возможностью прописать исключения.

а если у пользователя динамический ip?

Ты не правильно решаешь проблему, а пытаешься одеть штаны через голову, имхо

>какой то маразм. Потерял пароль - штраф.

Не получится. Не буду объяснить по каким причинам, просто прими это как данность
>а если у пользователя динамический ip?

Ну и пёс с ними, с исключениями. Для этих вещей WEB-морда для почты существует
>Ты не правильно решаешь проблему, а пытаешься одеть штаны через голову, имхо

Как, на твой взгляд правильно решить эту проблему?

Я уже сказал, как правильно. Админ-ные меры, вплоть до увольнения.

Если же все таки, надо ограничивать ip, то смотри в сторону http://www.postfix.org/RESTRICTION_CLASS_README.html

>Я уже сказал, как правильно. Админ-ные меры, вплоть до увольнения.

Ещё раз повторю: НИКАКИХ АДМИНИСТРАТИВНЫХ МЕР ПРИНЯТЬ НЕВОЗМОЖНО. Прошу к этому отнестись как к аксиоме. Мне интересна техническая сторона вопроса, а не рассуждения о том, как можно навазелинить пользователей.

>Если же все таки, надо ограничивать ip, то смотри в сторону http://www.postfix.org/RESTRICTION_CLASS_README.html

Спасибо, гляну, но ИМХО, это не совсем то...

>>Я уже сказал, как правильно. Админ-ные меры, вплоть до увольнения.
>
>Ещё раз повторю: НИКАКИХ АДМИНИСТРАТИВНЫХ МЕР ПРИНЯТЬ НЕВОЗМОЖНО. Прошу к этому отнестись
>как к аксиоме. Мне интересна техническая сторона вопроса, а не рассуждения
>о том, как можно навазелинить пользователей.

Ну тогда одевайте штаны через голову :)

можно просто через smtpd_discard_ehlo_keyword_address_maps отключить AUTH для всех ip кто не в списке.

>можно просто через smtpd_discard_ehlo_keyword_address_maps отключить AUTH для всех ip кто не в
>списке.

smtp_discard_ehlo_keyword_address_maps (default: empty)

    Lookup tables, indexed by the remote SMTP server address, with case insensitive lists of EHLO keywords (pipelining, starttls, auth, etc.) that the Postfix SMTP client will ignore in the EHLO response from a remote SMTP server. See smtp_discard_ehlo_keywords for details. The table is not indexed by hostname for consistency with smtpd_discard_ehlo_keyword_address_maps.

Что-то из описания этого параметра не совсем ясно каким образом это реализовать. Вернее описание самой опции понятно, на как должен выглядеть сам файл? Ведь судя из описания, в файле должны быть указаны адреса для которых надо игнорировать AUTH а не адреса для которых надо его разрешить

>Ведь судя из описания, в файле должны быть указаны адреса для
>которых надо игнорировать AUTH а не адреса для которых надо его
>разрешить

Идея была такая:
AUTH включен всегда
через эту опцию задается список который перекроет весь IPv4 кроме указанных вами подсетей/адресов
т.е както-так
!192.168.0/24 AUTH
!1.2.3.4/32 AUTH

>>можно просто через smtpd_discard_ehlo_keyword_address_maps отключить AUTH для всех ip кто не в
>>списке.
>
>smtp_discard_ehlo_keyword_address_maps (default: empty)

будьте повнимательнее - не smtp, а smtpd !

smtpd_discard_ehlo_keyword_address_maps (default: empty)

>smtpd_discard_ehlo_keyword_address_maps (default: empty)

Прописал я эту опцию. Тем не менее снаружи как-то всё равно аутентифицируются и засерают почтовик.

Блин! Это бред какой-то! Я прописал в main.cf следующее:

smtpd_discard_ehlo_keyword_address_maps = hash:/etc/postfix/discard_ehlo
smtpd_sasl_exceptions_networks = !10.0.0.0/8, !127.0.0.1, static:all

[root@mail postfix]# cat /etc/postfix/discard_ehlo
!!10.0.0.0/8     AUTH
!127.0.0.1      AUTH

Цепляюсь телнетом с другого IP, делаю EHLO - слова AUTH нет

Но тем не менее спаммеры всё равно каким-то образом продолжают соединяться с внешних адресов, аутентифицироваться (КАК?!!!) и рассылают тонны спама

postfix версии 2.7.1

> Блин! Это бред какой-то! Я прописал в main.cf следующее:
> smtpd_discard_ehlo_keyword_address_maps = hash:/etc/postfix/discard_ehlo
> smtpd_sasl_exceptions_networks = !10.0.0.0/8, !127.0.0.1, static:all
> [root@mail postfix]# cat /etc/postfix/discard_ehlo
> !!10.0.0.0/8     AUTH
> !127.0.0.1      AUTH
> Цепляюсь телнетом с другого IP, делаю EHLO - слова AUTH нет
> Но тем не менее спаммеры всё равно каким-то образом продолжают соединяться с
> внешних адресов, аутентифицироваться (КАК?!!!) и рассылают тонны спама
> postfix версии 2.7.1

этот параметр: smtpd_sasl_exceptions_networks всего лишь скрывает в AUTH в протоколе, но если попробовать
авторизоваться (AUTH LOIGN) запрос пройдет. возможно поможет restriction_class