[Postfixbuch-users] Subdomains und relay_recipient_maps

Joachim Schoenberg joe at pdi-berlin.de
Do Mär 30 10:36:48 CEST 2006


Hallo Patrick,

danke fuer Deine Ausfuehrungen.

Am Donnerstag, 30. März 2006 09:35 schrieb Patrick Ben Koetter:

> > 
> > Oder soll ich dem Kunden das "subdomain stripping" ausreden und sagen:
> > die _wirklichen_ Mailadressen aus den Subdomains gehoeren in die
> > relay_recipient_maps und fertig?
> 
> Was da 'wirklich' reingehört, ist IMO eine Frage der 'Unternehmenspolitk' -
> technisch gesehen ist beides umsetzbar. Hier ein paar Gedanken:

Ja, Du hast recht. Heute ist bei uns ohnehin Admin-Sitzung, da werde ich das
'mal diskutieren.

Zur Orientierung unsere Nutzerzahl: insgesamt < 1000, in den
einzelnen Instituten 50 ...200, also spielen Lastfragen/Latenz normalerweise
keine Rolle.
 
> Richtig [tm] ist hier sicherlich ein dezentral verwalterter und zentral
> abgefragter LDAP-Dienst, in dem ihr Eure Benutzer organisiert. Wir hatten
> sowas an der LMU München für ~30.000 aktive Nutzer und es hat uns extrem den
> Alltag erleichtert.

Hm, wir habe hier zwar ein "Corporate Network", aber die Institute sind eben
ziemlich inhomogen. Einige haben schon LDAP, da frage ich das ab.
Die anderen muessen mir ihre Nutzerlisten per SCP auf das Relay schieben
(inklusive MD5-Summe), dort wird die entsprechende relay_recipient_map aktualisiert.
Passiert auf meiner Seite automatisch per cron und klappt problemlos - 'mal von
zu umschiffenden Inkompatibilitaeten der auf verschiedenen Systemen erzeugten 
MD5-Summen abgesehen.


> Das alles kann aber nicht das potentielle Problem der "engen Namensräume im
> localpart" lösen. Irgendwann gibt es halt einen zweiten
> joachim.schoenberg at pdi-berlin.de und dann sind Subdomains echt praktisch...

Momentan ist das (noch?) nicht das Problem.
Hier soll lediglich aus nutzer at bla.pdi-berlin.de ein nutzer at pdi-berlin.de
gemacht werden. Das klappt ja auch problemlos mit canonical_regexp.
Aber _danach_ wird die gewandelte Adresse nicht mehr gegen die
relay_recipient_maps (in der nur nutzer at pdi-berlin.de steht) geprueft,
denn dieser Test war ja schon vorher.
Damit gehen Mails an jede beliebige Adresse @bla.pdi-berlin.de durch :-(
Trage ich nutzer at bla.pdi-berlin.de in die relay_recipient_maps ein, klappt wieder 
alles, ohne canonical regexp zu benoetigen.

Ich glaube, ich werde den Kunden ueberzeugen, mir die wirklichen Namen
der Nutzer aus den Subdomains mitzuschicken.
Vielleicht ist der ja nur zu "faul", seine Kunden zu einer "ordentlichen"
institutskonformen Konfiguration der Reply/Reply To-Adresse zu bewegen ;-)
In meinem Institut habe ich das durchgesetzt...

(Oder ich muss das subdomain stripping muss _vor_ dem Test der recipient_map machen - aber wie?) 

Joe

> 
> p at rick
> 
> 
> > 
> > Joe
> > 
> > Am Dienstag, 28. März 2006 13:06 schrieb Joachim Schoenberg:
> > > Hallo Liste,
> > > 
> > > ich betreue ein Mailrelay fuer mehrere Institute.
> > > Es kam der Wunsch auf, daß Mails an Empfänger in
> > > Subdomains umgeschrieben und damit zustellbar werden.
> > > Ich hatte das über
> > > 
> > > canonical_maps = regexp:/etc/postfix/canonical_regexp
> > > 
> > > geloest mit Eintraegen wie
> > > 
> > > /@.*\.pdi-berlin\.de/  @pdi-berlin.de 
> > > 
> > > "Meine" Domains stehen in relay_domains, also z. B.
> > > 
> > > pdi-berlin.de	dummy
> > > 
> > > Ich stelle jetzt fest, daß zwar korrekt umgeschrieben wird, aber die 
> > > Abfrage der relay_recipient_maps erfolgt nicht bzw. vorher (vermutlich,
> > > weil die canonical maps erst durch "cleanup" bearbeitet werden).
> > > Wie kann ich das Abscheiden der Subdomains _vor_ der Abfrage gueltigen Nutzer
> > > vornehmen - oder brauche ich einen grundsaetzlich anderen Ansatz?
> > > 
> > > postconf -n:
> > > 
> > > 
> > > alias_maps = hash:/etc/aliases
> > > biff = no
> > > canonical_maps = regexp:/etc/postfix/canonical_regexp
> > > command_directory = /usr/sbin
> > > config_directory = /etc/postfix
> > > content_filter = smtp:[127.0.0.1]:10024
> > > daemon_directory = /usr/lib/postfix
> > > debug_peer_level = 2
> > > defer_transports =
> > > disable_dns_lookups = no
> > > html_directory = /usr/share/doc/packages/postfix/html
> > > inet_interfaces = all
> > > mail_owner = postfix
> > > mail_spool_directory = /var/mail
> > > mailbox_command =
> > > mailbox_size_limit = 0
> > > mailbox_transport =
> > > mailq_path = /usr/bin/mailq
> > > manpage_directory = /usr/share/man
> > > masquerade_classes = envelope_sender, header_sender, header_recipient
> > > masquerade_domains =
> > > masquerade_exceptions = root
> > > message_size_limit = 102400000
> > > mydestination = $myhostname, localhost.$mydomain
> > > myhostname = agent-j.bb.fv-berlin.de
> > > mynetworks = hash:/etc/postfix/network_table
> > > newaliases_path = /usr/bin/newaliases
> > > queue_directory = /var/spool/postfix
> > > readme_directory = /usr/share/doc/packages/postfix/README_FILES
> > > relay_domains = $mydestination, hash:/etc/postfix/relay-domains
> > > relay_recipient_maps = hash:/etc/postfix/maps/valid_users_pdi # usw.
> > > relayhost =
> > > relocated_maps = hash:/etc/postfix/relocated
> > > sample_directory = /usr/share/doc/packages/postfix/samples
> > > sender_canonical_maps = hash:/etc/postfix/sender_canonical
> > > sendmail_path = /usr/sbin/sendmail
> > > setgid_group = maildrop
> > > smtp_sasl_auth_enable = no
> > > smtp_use_tls = no
> > > smtpd_client_restrictions =
> > > smtpd_helo_required = no
> > > smtpd_helo_restrictions =
> > > smtpd_recipient_restrictions =  reject_unlisted_recipient
> > >                                 permit_mynetworks
> > >                                 reject_unauth_destination
> > >                                 check_policy_service inet:127.0.0.1:11111
> > >                                 check_recipient_access  hash:/etc/postfix/maps/valid_users_pdi
> > > smtpd_sasl_auth_enable = no
> > > smtpd_sender_restrictions = hash:/etc/postfix/access
> > > smtpd_use_tls = no
> > > soft_bounce = no
> > > strict_rfc821_envelopes = no
> > > transport_maps = hash:/etc/postfix/transport
> > > unknown_local_recipient_reject_code = 550
> > > 
> > >              
> > > Gruss
> > > 
> > > Joe
> > > 
> > > -- 
> > > ----------------------------------------------------------------
> > >  Joachim Schoenberg                  PHONE:    +49 30 20377 374  
> > >  Paul-Drude-Institut fuer            FAX:      +49 30 20377 201  
> > >  Festkoerperelektronik Berlin
> > > ----------------------------------------------------------------
> > 
> > -- 
> > ----------------------------------------------------------------
> >  Joachim Schoenberg                  PHONE:    +49 30 20377 374  
> >  Paul-Drude-Institut fuer            FAX:      +49 30 20377 201  
> >  Festkoerperelektronik Berlin
> > ----------------------------------------------------------------
> > -- 
> > _______________________________________________
> > Postfixbuch-users mailingliste
> > Heinlein Professional Linux Support GmbH
> > 
> > Postfixbuch-users at listi.jpberlin.de
> > http://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
> 
> -- 
> Das »Postfix«-Buch
> <http://www.postfix-buch.com>
> saslfinger (debugging SMTP AUTH):
> <http://postfix.state-of-mind.de/patrick.koetter/saslfinger/>

-- 
----------------------------------------------------------------
 Joachim Schoenberg                  PHONE:    +49 30 20377 374  
 Paul-Drude-Institut fuer            FAX:      +49 30 20377 201  
 Festkoerperelektronik Berlin
----------------------------------------------------------------



Mehr Informationen über die Mailingliste Postfixbuch-users