relay-User und reject_sender_login_mismatch

Tobias Kirchhofer tobias at kirchhofer.net
Do Jan 26 12:34:12 CET 2017 

Sorry für die falsch formatierte vorige E-Mail.

Für die Dokumentation: wie wir die Aufgabe nun gelöst haben (reject_authenticated_sender_login_mismatch für bestimmte User umgehen):

- Der privilegierte authentifizierte User bekommt per check_sasl_access und smtpd_restriction_classes eigene smtpd_sender_restrictions

smtpd_sender_restrictions =
  check_sasl_access hash:/etc/postfix/maps/sasl_access,
  reject_authenticated_sender_login_mismatch,
  permit_mynetworks,
  reject_sender_login_mismatch,
  permit_sasl_authenticated,
  reject_unlisted_sender,
  reject_unknown_sender_domain

/etc/postfix/maps/sasl_access:
# User die reject_authenticated_sender_login_mismatch umgehen
relay at domain.com    permit_relayuser

smtpd_restriction_classes = greylist, permit_relayuser
permit_relayuser =
  permit_mynetworks
  permit_sasl_authenticated
  reject_unlisted_sender
  reject_unknown_sender_domain

Wenn das so passt, dann habe ich smtpd_restriction_classes jetzt verstanden :) Es hing an check_sasl_access (wie gegen den authentifizierten Usernamen prüfen), das fehlte…

Danke fürs zuhören ;)

On 23 Jan 2017, at 19:54, Alex JOST wrote:

> Am 23.01.2017 um 19:24 schrieb Tobias Kirchhofer:
>> Hallo zusammen,
>>
>> wir haben ein gut funktionierendes postfix/dovecot System, das dem User erlaubt
>> nur mit sasl authentifiziertem Benutzername zu versenden der mit der
>> Absenderadresse im Envelop übereinstimmt. Per smtpd_sender_login_maps
>> konfigurieren wir Ausnahmen.
>>
>> Nun haben wir einen User relay at domain (der u.a. Ausgaben von Cron-Jobs verteilt
>> aber auch E-Mails aus Websites), der unseren Mailserver von verschiedenen
>> Servern aus als Relay nutzt. Die Systeme haben unterschiedliche Domains und
>> prinzipiell immer wieder neue und andere, so dass wir dem Relay-User gerne
>> gestatten möchten im Namen von allen möglichen Absendern E-Mails zu versenden,
>> um nicht immer nachpflegen zu müssen.
>>
>> Im Moment haben wir das so gelöst:
>>
>> smtpd_sender_login_maps.regexp:
>> /./@./.lan|dmz|gast.example.com/ relay at kirchhofer.net <mailto:relay at kirchhofer.net>
>>
>> Wir möchten am liebsten sowas machen, aber das funktioniert nicht:
>>
>> /^([^@+]/)(+[^@]/)?@./../$/ relay at kirchhofer.net <mailto:relay at kirchhofer.net> #
>> Wildcard mit Extensions
>>
>> Keiner kann mehr am System E-Mails abliefern :)
>>
>> Wie würde man so einen universellen Relay-User hinbekommen, ohne auf
>> reject_sender_login_mismatch zu verzichten?
>
> Am besten wäre wohl Du erstellst eigene 'smtpd_restriction_classes'.
>
> Siehe dazu:
> http://www.postfix.org/RESTRICTION_CLASS_README.html
>
> -- 
> Alex JOST

-- 
Tobias Kirchhofer
tobias at kirchhofer.net
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 801 bytes
Beschreibung: OpenPGP digital signature
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20170126/12cb7f25/attachment.asc>

Mehr Informationen über die Mailingliste Postfixbuch-users