OT: Postfix/SSL
Jan Dušátko
jan at dusatko.org
Wed Nov 23 23:50:46 CET 2011
Jan Dušátko wrote:
> > Ahoj,
> > Posilam mirne OT dotaz na tema Postfix a SSL.
> > Mam server, vyuzivajici SPF. Při standardnim odesilani se mi
> > odesilatele blokuji, protože e-mail není odeslan z domeny uvedene v SPF
zaznamu.
> > Rad bych nastavil klienty jako jen a pouze SSL komunikace (SMPT/S,
> > neresim v tuto chvili POP3/IMAP) s tim, ze bych rad upravil SPF filtr
> > aby e-maily prisle přes SSL akceptoval a zaroven spolehlive blokoval
ostatni balast.
>
> Nepouzivam SPF, takze neporadim konkretne, ale bude to patrne stejne, jako
v ostatnich pripadech - staci si v main.cf nakonfigurovat spravne
smtpd_client_restrictions, smtpd_helo_restrictions,
smtpd_sender_restrictions, smtpd_recipient_restrictions ...
>
> Tebe bude nejvice zajimat asi smtpd_client_restrictions a
smtpd_sender_restrictions
>
> Napriklad:
>
> smtpd_sender_restrictions =
> check_sender_access hash:$config_directory/access
> permit_mynetworks,
> permit_sasl_authenticated,
> reject_non_fqdn_sender,
> reject_unknown_sender_domain
> check_policy_service unix:private/policy
>
>
> a pak je v master.cf override ciste pro sifrovane kanaly:
>
> smtps inet n - n - - smtpd
> -o smtpd_tls_wrappermode=yes
> -o smtpd_client_restrictions=permit_sasl_authenticated,reject
>
> submission inet n - n - - smtpd
> -o smtpd_tls_security_level=encrypt
> -o smtpd_client_restrictions=permit_sasl_authenticated,reject
>
> Nevim, jak presne tam mas implementovane to SPF (kde / co se stara o tu
kontrolu), ale pointa z toho > vyse uvedeneho prikladu je doufam jasna -
obecne jsou nastavena nejaka kriteria pro odesilatele, nebo > klienta, nebo
prijemce atd., ale v master.cf se pro smtps (tedy sifrovanou
> komunikaci) ten seznam zmeni na to, ze se kontroluje jen to, jestli je
klient overen loginem a heslem > pres SASL a zadna dalsi kriteria uz
splnovat nemusi.
> Stejnou zalezitost si vymyslis i pro ten svuj SPF.
SPF je jako policy v main.cf
policy unix - n n - 0 spawn
user=nobody argv=/usr/local/sbin/postfix-policyd-spf-perl
V Main.cf pak je nastaveno
spf-policy_time_limit = 3600
smtpd_recipient_restrictions =
permit_sasl_authenticated
permit_mynetworks
permit_mx_backup
permit_auth_destination
reject_unauth_pipelining
# reject_non_fqdn_recipient
reject_non_fqdn_sender
reject_unknown_recipient_domain
reject_unauth_destination
reject_invalid_hostname
check_recipient_access hash:$config_directory/recipient_check
# check_policy_service unix:private/policy
check_policy_service inet:127.0.0.1:10023
check_policy_service unix:private/spf-policy
Honza
More information about the Users-l
mailing list