URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 44261
[ Назад ]

Исходное сообщение
"Раздел полезных советов: Создание ограничений входящей и исходящей почты в Postfix для определенных пользователей"

Отправлено auto_tips , 06-Окт-08 19:37 
Ситуация:есть Postfix выставленный в Интернет,который допустим выступает шлюзом для Exchange в LAN.
Задача: разрешить отправку почты в Интернет и обратно только определенным пользователям.
Выход: используем классы разрешений, Postfix restriction classes.


Создаем два класса users_out для исходящих писем,users_in соответственно для входящих.

   smtpd_restriction_classes = users_out, users_in

В классах будут проверятся пользователи которым разрешено отправлять и получать почту,
именно этим и занимаются правила check_*_access

   users_in = check_recipient_access hash:/etc/postfix/users, reject
   users_out = check_sender_access hash:/etc/postfix/users, reject

В smtpd_*_restrictions указываем проверку на наш почтовый домен domain.ru
к которому будет  применяться созданные классы.

   smtpd_sender_restrictions = check_sender_access hash:/etc/postfix/senders
   smtpd_recipient_restrictions = permit_mynetworks,
                              check_recipient_access hash:/etc/postfix/destinations,
                              reject_unauth_destination

Файл destinations с нашим доменом и указанием классов которые будут применятся к ним у

   domain.ru         users_in

Содержимое файла senders

   domain.ru         users_out

Файл users со списком пользователей которым разрешено отправлять и получать почту

   test@domain.ru        OK
   boss@domain.ru        OK
   billy@domain.ru       OK

Итог: Имеем конфигурацию с помощью которой можем разрешать пересылку определенным пользователям на определенные наши домены.


URL: http://www.postfix.org/RESTRICTION_CLASS_README.html
Обсуждается: http://www.opennet.me/tips/info/1787.shtml


Содержание

Сообщения в этом обсуждении
"Создание ограничений входящей и исходящей почты в Postfix для определенных пользователей"
Отправлено Alexander Yakimenko , 07-Окт-08 00:05 
В случае изменения пользователем адреса электронной почты имеется возможность пересылки.
Смысл такой защиты? Разве что от дурака.

"Создание ограничений входящей и исходящей почты в Postfix дл..."
Отправлено Mark Silinio , 07-Окт-08 07:50 
смотри reject_authenticated_sender_login_mismatch и smtpd_sender_login_maps

"Создание ограничений входящей и исходящей почты в Postfix дл..."
Отправлено mr_gfd , 08-Окт-08 00:11 
а почему не прикрутить кривой AD LDAP, и не проверять наличие пользователя в группе безопасности?

"Создание ограничений входящей и исходящей почты в Postfix дл..."
Отправлено prapor , 12-Окт-08 16:55 
>а почему не прикрутить кривой AD LDAP, и не проверять наличие пользователя в группе безопасности?

А кто сказал, что оно есть в наличии?


"Создание ограничений входящей и исходящей почты в Postfix дл"
Отправлено mr_gfd , 14-Окт-08 06:15 
>>а почему не прикрутить кривой AD LDAP, и не проверять наличие пользователя в группе безопасности?
>
>А кто сказал, что оно есть в наличии?

Типично армейский юмор. Эксчендж без АД?


"Создание ограничений входящей и исходящей почты в Postfix дл"
Отправлено Karp Rybin , 20-Окт-08 23:41 
Не чего смешного.Эксчендж у конторы,постфикс у другой.Не факт,что админы этих контор между собой дружат.

"Создание ограничений входящей и исходящей почты в Postfix дл"
Отправлено mr_gfd , 21-Окт-08 11:25 
>Не чего смешного.Эксчендж у конторы,постфикс у другой.Не факт,что админы этих контор между
>собой дружат.

В контексте статьи оба сервера пренадлежат одной организации, если я ее правильно прочитал.
В данном контексте использовать ручное редактирование файлов на мылошлюзе - мартышкин труд.
Правильно сделать LDAP query_filter вида (&(objectCategory=Person)(memberOf=DN=GroupName, OU=Org, DC=domain, DC=com)), и пользователи без членства в GroupName идут лесом.


"Создание ограничений входящей и исходящей почты в Postfix дл"
Отправлено Резников Алексей , 21-Окт-08 23:32 
>>Не чего смешного.Эксчендж у конторы,постфикс у другой.Не факт,что админы этих контор между
>>собой дружат.
>
>В контексте статьи оба сервера пренадлежат одной организации, если я ее правильно
>прочитал.
>В данном контексте использовать ручное редактирование файлов на мылошлюзе - мартышкин труд.
>
>Правильно сделать LDAP query_filter вида (&(objectCategory=Person)(memberOf=DN=GroupName, OU=Org, DC=domain, DC=com)), и пользователи без
>членства в GroupName идут лесом.

1) Где вы этот контекст увидели?
2) Почему бы Вам тогда не расказать про описанный вами метод.


"Создание ограничений входящей и исходящей почты в Postfix дл..."
Отправлено Аноним , 08-Окт-08 09:46 
Вы что читать не умеете,это не защита а ограничение...Ну и что сменит адрес,почту то он все равно не отправит и не получит.