[Postfixbuch-users] Einbindung Amavis in submission klappt nicht
Christian Garling
christian.garling at cg-networks.de
Mo Apr 14 10:26:38 CEST 2014
Ich muss da nochmal einhaken. Warum sollte ich die
smtpd_recipient_restrictions für meine Clients die per submission
einliefern so lasch setzen?
Aus meiner Sicht können und sollten die Clients die Checks durchlaufen,
die in der main.cf definiert sind:
# role accounts (abuse and postmaster)
check_recipient_access
hash:/etc/postfix/access_maps/role_accounts,
# whitelists / blacklists
check_client_access
hash:/etc/postfix/access_maps/hostname,
check_client_access
cidr:/etc/postfix/access_maps/ip.cidr,
check_helo_access
hash:/etc/postfix/access_maps/helo,
check_helo_access
pcre:/etc/postfix/access_maps/helo.pcre,
check_sender_access
hash:/etc/postfix/access_maps/sender,
check_recipient_access
hash:/etc/postfix/access_maps/recipient,
# reject non-compliant mails
reject_non_fqdn_sender,
reject_non_fqdn_recipient,
reject_unknown_sender_domain,
reject_unknown_recipient_domain,
reject_invalid_hostname,
# permit authenticated and local users
permit_sasl_authenticated,
permit_mynetworks,
[...]
Was spricht dagegen? Was spricht stattdessen für:
-o smtpd_client_restrictions=permit_sasl_authenticated,reject
Als gravierenden Unterschied sehe ich das sofortige reject für alles
außer meinen Clients. Macht es stattdessen Sinn die Option zu erweitern?
-o
smtpd_client_restrictions=reject_non_fqdn_sender,reject_non_fqdn_recipient,reject_unknown_sender_domain,reject_unknown_recipient_domain,permit_sasl_authenticated,reject
Im Grunde könnte ich dann ja als letzte Konsequenz auch
permit_sasl_authenticated aus den smtpd_recipient_restrictions in der
main.cf gänzlich entfernen, da meine Clients ja nur noch per Port 587
einliefern (müssen) und Port 25 dem Empfang von "außen" vorbehalten bleibt.
Ich freue mich auf eure Kommentare.
Gruß, Christian
Am 13.04.2014 20:50, schrieb Peer Heinlein:
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
>
> Am 13.04.2014 20:01, schrieb Christian Garling:
>
>> submission inet n - n - - smtpd -o
>> smtpd_proxy_filter= -o content_filter=127.0.0.1:10024 # -o
>> smtpd_tls_security_level=encrypt # -o smtpd_sasl_auth_enable=yes #
>> -o smtpd_client_restrictions=permit_sasl_authenticated,reject # -o
>> milter_macro_daemon_name=ORIGINATING
> Der Syntax vom content_filter ist ein "nexthop"-Syntax wie in der
> transport_maps.
>
> Also:
>
> smtp:[127.0.0.1]:10024
>
> Außerdem hast Du submission kaputt gemacht. Die vier Zeilen dadrunter
> müssen ebenfalls aktiv sein.
>
> Peer
>
>
>
> - --
> Heinlein Support GmbH
> Schwedter Str. 8/9b, 10119 Berlin
>
> http://www.heinlein-support.de
>
> Tel: 030 / 405051-42
> Fax: 030 / 405051-19
>
> Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht
> Berlin-Charlottenburg,
> Geschäftsführer: Peer Heinlein -- Sitz: Berlin
> -----BEGIN PGP SIGNATURE-----
> Version: GnuPG v2.0.22 (GNU/Linux)
> Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/
>
> iQEcBAEBAgAGBQJTStyKAAoJEAOLLpq5E82H8+gH/3cRULQEPdErcwxTqqon/wXs
> 92CY6CIuEUPRjgKblcjmC41C0vuWYXnEGLGbySVBwSM8cDQNmR+vE+VIiLmdjz5g
> uto8T1VIhnmSBM7RnU9yQm9QEvMnteChKAsWo612defcEK2yOnxDa0lLk32zLb4C
> cjvOtPDLIjd+eh3Wpu1ZmCcQ45epIve02GopHLYsimAq6bKUn6l+HauU9oxExL5q
> L/RUavouCmSC2Tg7SdAkNTev1vh6lseNVXA1LCb254Agv74SrKrXpnDMwiPslJgM
> IRW57CYCsQ+u2fI4dRcNE3mR0oS4DxlpUVzQ+nilJWN8R4zkdbiGfLxLLkahx8k=
> =XMbp
> -----END PGP SIGNATURE-----
Mehr Informationen über die Mailingliste Postfixbuch-users