форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Postfix access - вот те на..."
Сообщение от Camb on 16-Дек-03, 12:09  (MSK)
Привет, люди, человеки! Вот какое дело. В Postfix'e настроены рестрикции (см.ниже). В самое начало вынес access'ы для тех кто криво шлет, сидит в RBL'ях в общем lame.. Скажем в hash:../sender_access пишу: --- ufanet.ru    OK --- в результате ты с любого внеш. IP обозвавшись vasya@ufanet.ru получаешь доступ к релею_хоть_куда(!) а мне хотелось бы чтобы был получен доступ только к отправке на мой почтарь. и точно так же с hash:../client_access и hash:..../rcpt_access где-то косяк в настройках? подскажите, люди добрые, пожалуйста! ---- main.cf ------------------ smtpd_client_restrictions = smtpd_helo_restrictions = smtpd_sender_restrictions = smtpd_recipient_restrictions =         check_client_access hash:/etc/postfix/client_access,         check_sender_access hash:/etc/postfix/sender_access,         check_recipient_access hash:/etc/postfix/rcpt_access,         check_helo_access hash:/etc/postfix/helo_access, #         reject_non_fqdn_sender,         reject_unknown_sender_domain,         permit_mynetworks,         reject_invalid_hostname,         reject_non_fqdn_hostname,         reject_non_fqdn_recipient,         reject_unknown_recipient_domain,         reject_unauth_pipelining,         reject_unauth_destination,         reject_maps_rbl,         check_relay_domains ----------------------
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Postfix access - вот те на..."
Сообщение от Varran on 16-Дек-03, 14:48  (MSK)
Привет. Может попробовать через regexp ? То бишь указать отправителя и домен получателя. Такое возможно? Если да поделитесь как?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Postfix access - вот те на..."
Сообщение от ipmanyak on 16-Дек-03, 14:53  (MSK)
ерундой занимаешься! зачем тебе sender access и др ? разреши слать из свой локалки и всё! по умолчанию у постфикса релей закрыт извне! что тебе еще надо ?  за что боремся ?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "Postfix access - вот те на..."
	Сообщение от Varran on 16-Дек-03, 15:09  (MSK)
	>ерундой занимаешься! зачем тебе sender access и др ? >разреши слать из свой локалки и всё! по умолчанию у постфикса релей >закрыт извне! что тебе еще надо ?  за что боремся >? собственно да. суть в чем?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "Postfix access - вот те на..."
	Сообщение от Camb on 16-Дек-03, 18:59  (MSK)
	>>ерундой занимаешься! зачем тебе sender access и др ? >>разреши слать из свой локалки и всё! по умолчанию у постфикса релей >>закрыт извне! что тебе еще надо ?  за что боремся >>? > >собственно да. суть в чем? короче, суть рассказываю: для своей сети я ж разрешил все (см. permit mynetworks) для внешних конектов, как видно, довольно жесткие рестрикции, однако ж, редко но метко попадаются клиенты (то бишь MTA) которые, например шлют не fqdn helo, или сидят в RBL'ях, или не шлют helo вообще ну и так по-мелочи.. так вот, в рестрикциях самыми первыми идут списки как раз этих "уродов" (hash:client, ..sender, ..rcpt) над которыми не надо осуществлять контроль согласно дальнейших (нижеследующих) рестрикций... вот. а когда попробовал поставил "reject_unknown_client" (это когда у ip нету имени) число "уродов" выросло на порядок.. - убрал.. :) regexp'ом думаю можно.. но это ч/з asshole.. ah? p.s. вообще я ожидал следующий синтаксис access-файлов: REJECT - понятно RELAY - можно релеить ему OK - можно/нужно принять
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "Postfix access - вот те на..."
	Сообщение от HFSC on 17-Дек-03, 11:16  (MSK)
	>>>ерундой занимаешься! зачем тебе sender access и др ? >>>разреши слать из свой локалки и всё! по умолчанию у постфикса релей >>>закрыт извне! что тебе еще надо ?  за что боремся >>>? >> >>собственно да. суть в чем? > >короче, суть рассказываю: > >для своей сети я ж разрешил все (см. permit mynetworks) > >для внешних конектов, как видно, довольно жесткие рестрикции, однако ж, редко но >метко попадаются клиенты (то бишь MTA) которые, например шлют не fqdn >helo, или сидят в RBL'ях, или не шлют helo вообще ну >и так по-мелочи.. > >так вот, в рестрикциях самыми первыми идут списки как раз этих "уродов" >(hash:client, ..sender, ..rcpt) над которыми не надо осуществлять контроль согласно дальнейших >(нижеследующих) рестрикций... > >вот. > >а когда попробовал поставил "reject_unknown_client" (это когда у ip нету имени) число >"уродов" выросло на порядок.. - убрал.. :) > >regexp'ом думаю можно.. но это ч/з asshole.. ah? > >p.s. >вообще я ожидал следующий синтаксис access-файлов: >REJECT - понятно >RELAY - можно релеить ему >OK - можно/нужно принять http://www.postfix.org/uce.html#smtpd_helo_restrictions
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "Postfix access - вот те на..."
	Сообщение от Camb on 17-Дек-03, 11:32  (MSK)
	>http://www.postfix.org/uce.html#smtpd_helo_restrictions да нет же.. речь о access файлах.. ну хорошо: пусть кто-то шлет хэло вот так: "mail_server" - мой почтарь его отошлет (так как не FQDN) делаю так: hash: ../helo_access ------------ helo-access -------- mail_server   OK --------------------------------- так? да! после этого мой почтарь начинает принимать месаги от него. НО!!! помимо этого он рахрешит ему релеить(!!!) ч/з себя.(да и вообще любому, кто в хэло скажет "mail_server") ясно? Чего хочу я: чтобы он не разрешал релеить, а резрешал только доставлять. Выше подсказали разрулить регуляркой.. может есть что штатное? СПАСИБО!
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "Postfix access - вот те на..."
	Сообщение от HFSC on 17-Дек-03, 15:00  (MSK)
	> >>http://www.postfix.org/uce.html#smtpd_helo_restrictions > >да нет же.. >речь о access файлах.. ну хорошо: пусть кто-то шлет хэло вот так: >"mail_server" - мой почтарь его отошлет (так как не FQDN) >делаю так: hash: ../helo_access >------------ helo-access -------- >mail_server   OK >--------------------------------- >так? да! после этого мой почтарь начинает принимать месаги от него. НО!!! > >помимо этого он рахрешит ему релеить(!!!) ч/з себя.(да и вообще любому, кто >в хэло скажет "mail_server") > >ясно? > >Чего хочу я: чтобы он не разрешал релеить, а резрешал только доставлять. > >Выше подсказали разрулить регуляркой.. может есть что штатное? > >СПАСИБО! Поставь все хеши после правил с reject
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "Postfix access - вот те на..."
	Сообщение от Camb on 18-Дек-03, 12:19  (MSK)
	>> >>>http://www.postfix.org/uce.html#smtpd_helo_restrictions >> >>да нет же.. >>речь о access файлах.. ну хорошо: пусть кто-то шлет хэло вот так: >>"mail_server" - мой почтарь его отошлет (так как не FQDN) >>делаю так: hash: ../helo_access >>------------ helo-access -------- >>mail_server   OK >>--------------------------------- >>так? да! после этого мой почтарь начинает принимать месаги от него. НО!!! >> >>помимо этого он рахрешит ему релеить(!!!) ч/з себя.(да и вообще любому, кто >>в хэло скажет "mail_server") >> >>ясно? >> >>Чего хочу я: чтобы он не разрешал релеить, а резрешал только доставлять. >> >>Выше подсказали разрулить регуляркой.. может есть что штатное? >> >>СПАСИБО! > >Поставь все хеши после правил с reject дык, если поставлю в конец, как я понимаю, то они будут обрабатываться в последнюю очередь! "или с кем" ?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.