The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Создание ограничений входящей и исходящей почты в Postfix для определенных пользователей
Ситуация:есть Postfix выставленный в Интернет,который допустим выступает шлюзом для Exchange в LAN.
Задача: разрешить отправку почты в Интернет и обратно только определенным пользователям. 
Выход: используем классы разрешений, Postfix restriction classes.


Создаем два класса users_out для исходящих писем,users_in соответственно для входящих.

   smtpd_restriction_classes = users_out, users_in

В классах будут проверятся пользователи которым разрешено отправлять и получать почту,
именно этим и занимаются правила check_*_access

   users_in = check_recipient_access hash:/etc/postfix/users, reject
   users_out = check_sender_access hash:/etc/postfix/users, reject

В smtpd_*_restrictions указываем проверку на наш почтовый домен domain.ru 
к которому будет  применяться созданные классы.

   smtpd_sender_restrictions = check_sender_access hash:/etc/postfix/senders
   smtpd_recipient_restrictions = permit_mynetworks,
                              check_recipient_access hash:/etc/postfix/destinations,
                              reject_unauth_destination

Файл destinations с нашим доменом и указанием классов которые будут применятся к ним у

   domain.ru         users_in

Содержимое файла senders

   domain.ru         users_out

Файл users со списком пользователей которым разрешено отправлять и получать почту

   test@domain.ru        OK
   boss@domain.ru        OK
   billy@domain.ru       OK

Итог: Имеем конфигурацию с помощью которой можем разрешать пересылку
определенным пользователям на определенные наши домены.
 
06.10.2008 , Автор: Резников Алексей , Источник: http://www.postfix.org/RESTRICTION_...
Ключи: postfix, mail, limit
Раздел:    Корень / Администратору / Сетевые сервисы / Mail, почта / Безопасность и установка ограничений

Обсуждение [ RSS ]
  • 1.2, Alexander Yakimenko (?), 00:05, 07/10/2008 [ответить]  
  • +/
    В случае изменения пользователем адреса электронной почты имеется возможность пересылки.
    Смысл такой защиты? Разве что от дурака.
     
     
  • 2.3, Mark Silinio (?), 07:50, 07/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    смотри reject_authenticated_sender_login_mismatch и smtpd_sender_login_maps
     
     
  • 3.4, mr_gfd (?), 00:11, 08/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    а почему не прикрутить кривой AD LDAP, и не проверять наличие пользователя в группе безопасности?
     
     
  • 4.6, prapor (??), 16:55, 12/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >а почему не прикрутить кривой AD LDAP, и не проверять наличие пользователя в группе безопасности?

    А кто сказал, что оно есть в наличии?

     
     
  • 5.7, mr_gfd (?), 06:15, 14/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >>а почему не прикрутить кривой AD LDAP, и не проверять наличие пользователя в группе безопасности?
    >
    >А кто сказал, что оно есть в наличии?

    Типично армейский юмор. Эксчендж без АД?

     
     
  • 6.8, Karp Rybin (?), 23:41, 20/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Не чего смешного.Эксчендж у конторы,постфикс у другой.Не факт,что админы этих контор между собой дружат.
     
     
  • 7.9, mr_gfd (?), 11:25, 21/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Не чего смешного.Эксчендж у конторы,постфикс у другой.Не факт,что админы этих контор между
    >собой дружат.

    В контексте статьи оба сервера пренадлежат одной организации, если я ее правильно прочитал.
    В данном контексте использовать ручное редактирование файлов на мылошлюзе - мартышкин труд.
    Правильно сделать LDAP query_filter вида (&(objectCategory=Person)(memberOf=DN=GroupName, OU=Org, DC=domain, DC=com)), и пользователи без членства в GroupName идут лесом.

     
     
  • 8.10, Резников Алексей (?), 23:32, 21/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    1 Где вы этот контекст увидели 2 Почему бы Вам тогда не расказать про описанн... текст свёрнут, показать
     
  • 2.5, Аноним (5), 09:46, 08/10/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Вы что читать не умеете,это не защита а ограничение...Ну и что сменит адрес,почту то он все равно не отправит и не получит.
     


     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:




    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру