Привет всем! прошу помощ в нелегком вопросе
Есть почтовый сервер (postfix + dovecot), авторизация пользователей проходит через домен Active Directory, в postfixе настроена SMTP-авторизация lkz для улучшения безопасности.
Но тут встала такая задача. От ряда сервисов необходима рассылка почты пользователям., но она не работает, так как у нас включена SMTP-авторизация, заводить отдельные учетные записи в Active Directory и прописывать им пароль и адрес почты 0 смысла нету.
Хотелось бы грамотное и красивое решение. Как эта задача решается в Постфиксе?
Чтобы при включенной SMTP-авторизации письма с несущствующих ящиков (от серверов к примеру) доходили до пользователей в одностороннем порядке ??
параметр smtp_sasl_network_exceptions не работает. Я прописываю ему туда подсеть 192.168.200 (так как сервера у нас в той же подсети, что и почтовый сервер), и после этого вообще не работает пересылка и отправка сообщений ни у кого. Можно ли добалять исключения в postfix не на подсети, а на определенные почтовые адреса ??
Помогите плиз разобраться с этим вопросом...
Postfix, Исключения SMTP-авторизации
Модератор: xM
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
-
moury
- сержант
- Сообщения: 249
- Зарегистрирован: 2009-02-06 23:02:40
- Откуда: Москва
- Контактная информация:
Re: Postfix, Исключения SMTP-авторизации
Зачем городить что-то сложное?
Во-первых, можно вынести эти сервисы в отдельный домен (например, service1@monitoring.domain.ru), тогда правила SASL-авторизации на этот домен просто не будут распространяться.
Это - методически правильно.
Во-вторых, пустить адреса мимо SASL-авторизации при помощи обычных ACL. Идея основана на том, что в postfix запрет пересылки почты (то бишь, блокировка открытого релея ) происходит при срабатывании reject_unauth_destination. До него можете ставить разрешающие правила.
Единственное при этом условие: если используете проверку на правильность SASL-авторизации, правила обхода авторизации должны стоять до этой проверки.
А вот какие правила ставить - это как сами пожелаете. Вплоть до:
main.cf
где mail_from_services.cf:
Однако советую. чтобы любое отправляемое письмо проходило минимум 2 проверки (например, адрес отправителя + ip-адрес отправителя + адрес получателя ). Например, в примере выше спамеры смогут спокойно отправлять через Ваш сервер любой спам с обратными адресами service1@domain.ru и service2@domain.ru.
Во-первых, можно вынести эти сервисы в отдельный домен (например, service1@monitoring.domain.ru), тогда правила SASL-авторизации на этот домен просто не будут распространяться.
Это - методически правильно.
Во-вторых, пустить адреса мимо SASL-авторизации при помощи обычных ACL. Идея основана на том, что в postfix запрет пересылки почты (то бишь, блокировка открытого релея ) происходит при срабатывании reject_unauth_destination. До него можете ставить разрешающие правила.
Единственное при этом условие: если используете проверку на правильность SASL-авторизации, правила обхода авторизации должны стоять до этой проверки.
А вот какие правила ставить - это как сами пожелаете. Вплоть до:
main.cf
Код: Выделить всё
...
permit_mynetworks
check-sender_access hash:$config_directory/mail_from_services.cf
permit_sasl_authentication
reject_unauth_destination
...
Код: Выделить всё
service1@domain.ru permit
service2@domain.ru permit
Сисадмин - вождь апачей