OT: Postfix/SSL

Jan Dušátko jan at dusatko.org
Wed Nov 23 23:50:46 CET 2011


Jan Dušátko wrote:
> > Ahoj,
> > Posilam mirne OT dotaz na tema Postfix a SSL.
> > Mam server, vyuzivajici SPF. Při standardnim odesilani se mi 
> > odesilatele blokuji, protože e-mail není odeslan z domeny uvedene v SPF
zaznamu.
> > Rad bych nastavil klienty jako jen a pouze SSL komunikace (SMPT/S, 
> > neresim v tuto chvili POP3/IMAP) s tim, ze bych rad upravil SPF filtr 
> > aby e-maily prisle přes SSL akceptoval a zaroven spolehlive blokoval
ostatni balast.
>
> Nepouzivam SPF, takze neporadim konkretne, ale bude to patrne stejne, jako
v ostatnich pripadech - staci si v main.cf nakonfigurovat spravne
smtpd_client_restrictions, smtpd_helo_restrictions,
smtpd_sender_restrictions, smtpd_recipient_restrictions ...
>
> Tebe bude nejvice zajimat asi smtpd_client_restrictions a
smtpd_sender_restrictions
>
> Napriklad:
>
> smtpd_sender_restrictions =
>          check_sender_access hash:$config_directory/access
>          permit_mynetworks,
>          permit_sasl_authenticated,
>          reject_non_fqdn_sender,
>          reject_unknown_sender_domain
>          check_policy_service unix:private/policy
>
>
> a pak je v master.cf override ciste pro sifrovane kanaly:
>
> smtps     inet  n       -       n       -       -       smtpd
>    -o smtpd_tls_wrappermode=yes
>    -o smtpd_client_restrictions=permit_sasl_authenticated,reject
>
> submission inet n       -       n       -       -       smtpd
>    -o smtpd_tls_security_level=encrypt
>    -o smtpd_client_restrictions=permit_sasl_authenticated,reject
>
> Nevim, jak presne tam mas implementovane to SPF (kde / co se stara o tu
kontrolu), ale pointa z toho > vyse uvedeneho prikladu je doufam jasna -
obecne jsou nastavena nejaka kriteria pro odesilatele, nebo > klienta, nebo
prijemce atd., ale v master.cf se pro smtps (tedy sifrovanou
> komunikaci) ten seznam zmeni na to, ze se kontroluje jen to, jestli je
klient overen loginem a heslem > pres SASL a zadna dalsi kriteria uz
splnovat nemusi.
> Stejnou zalezitost si vymyslis i pro ten svuj SPF.

SPF je jako policy v main.cf
policy  unix    -       n       n       -       0       spawn
  user=nobody argv=/usr/local/sbin/postfix-policyd-spf-perl

V Main.cf pak je nastaveno
spf-policy_time_limit = 3600
smtpd_recipient_restrictions =
        permit_sasl_authenticated
        permit_mynetworks
        permit_mx_backup
        permit_auth_destination
        reject_unauth_pipelining
 #      reject_non_fqdn_recipient
        reject_non_fqdn_sender
        reject_unknown_recipient_domain
        reject_unauth_destination
        reject_invalid_hostname
        check_recipient_access hash:$config_directory/recipient_check
#       check_policy_service unix:private/policy
        check_policy_service inet:127.0.0.1:10023
        check_policy_service unix:private/spf-policy
 
Honza



More information about the Users-l mailing list