[Postfixbuch-users] Verstehe ich diese Config richtig?

Jan P. Kessler postfix at jpkessler.info
Mi Nov 26 18:48:24 CET 2008 

Hallo Florian,

Rustedt, Florian schrieb:
> Wie soll ich bitteschön in einer TEXT-Nachricht darstellen, wie ich die Aneinanderreihung von Prüfungen nachvollziehe, außer indem ich es strukturiert darstelle??
>   

Oh Gott ein Dilemma ;) Bitte versteh' aber auch, dass es sich hier um 
freiwillige Hilfeleistungen handelt und vermutlich den meisten die Zeit 
(und die Nerven) fehlen, um solche komplexen, selbstentwickelten 
Gedankenkonstrukte nachzuvollziehen.

Um konstruktiven Geist und guten Willen zu demonstrieren, wäre 
beispielsweise der mehrfach erbetene "postconf -n" nicht schlecht. 
Erstens lässt der unnötige Defaults weg und außerdem schließt das 
Tippfehler o.ä. aus.

> Wie bekomme ich denn nun hin, daß nicht nur alle nicht-existierenden Empfänger gefiltert werden, 

Sind die User lokal oder sprichst Du von einem Relay?

> sondern auch nur diese versenden dürfen und das auch nur aus dem eigenen Netz?
>
> Bei:
> -------------------------------
> smtpd_recipient_restrictions =
>  check_recipient_access hash:...,
>  permit_mynetwork,
>  check_sender_access,
>  reject
> -------------------------------
> ...würde ich erreichen, daß alle eingehenden Emails an bekannte Empfänger klappen, jedoch JEDER aus dem eigenen Netz versenden darf.
>
> Bei:
> -------------------------------
> smtpd_recipient_restrictions =
>  check_recipient_access hash:...,
>  check_sender_access,
>  permit_mynetwork,
>  reject
> -------------------------------
> ...würde ich erreichen, daß alle eingehenden Emails an bekannte Empfänger klappen, jedoch JEDE bekannte Emailadresse unabhängig vom Netz versenden darf?!
>   

In diesen Beispielen fehlen einige wichtige Checks. Ich gehe aber mal 
davon aus, dass Du das nur exemplarisch meinst.

Mal sehen, ob ich Dich verstanden habe: Möchtest Du verhindern, dass 
jemand aus dem Internet mit Eurer Domain als Absender sendet? Dann

smtpd_recipient_restrictions =
  permit_my_networks,
  reject_unauth_destination,
  check_sender_access hash:/etc/postfix/intern

/etc/postfix/intern:
domain1.tld   REJECT only from inside
domain2.tld   REJECT only from inside

Wenn Du Deinem internen Netz tatsächlich nicht traust und auch von dort 
nur bestimmte Absender zulassen willst, wird es komplexer und Du musst 
restriction_classes benühen:

smtpd_restriction_classes = pruefe_interne_sender
pruefe_interne_sender = check_sender_access 
pcre:/etc/postfix/interne_sender, reject
smtpd_recipient_restrictions =
  check_client_access cidr:/etc/postfix/interne_netze
  permit_my_networks,
  reject_unauth_destination,
  ...

/etc/postfix/interne_netze:
192.168.1.0/24   pruefe_interne_sender
0.0.0.0/0 dunno

/etc/postfix/interne_sender:
a at domain1.tld   permit
b at domain1.tld   permit

Naja, mir ist klar, dass das noch nicht die endgültige Konfig für Dich 
ist, aber vll ein Denkanstoß. Mach es nicht zu komplex - keep it simple 
and stupid! Solltest Du doch nicht umhinkommen (wollen), ein 
kompliziertes Regelwerk zu erstellen, solltest Du mal einen Blick auf 
Access Policy Delegation (z.B. postfwd) werfen.

Mehr Informationen über die Mailingliste Postfixbuch-users